В октябре 2025 года Microsoft выпустила обновление безопасности Patch Tuesday, исправив 167 уязвимостей в своих продуктах, включая семь критических ошибок.
Уязвимости в системе и ПО
Критическая уязвимость удалённого выполнения кода была обнаружена в Windows Server Update Service (WSUS), получившая оценку CVSSv3 9.8. Эта ошибка позволяет злоумышленнику выполнять произвольные команды на сервере, рискуя безопасностью всего патч-менеджмента. В Microsoft Office также выявлены две серьёзные уязвимости, позволяющие выполнить код через предварительный просмотр вредоносного документа в почте.
Кроме того, критически уязвимыми оказались старые драйверы модема Agere, что может привести к испорченным данным или повышению привилегий для злоумышленников, используя их в качестве второго этапа атаки.
Security fixes in Windows and Patch Tuesday updates
Другие значительные исправления
Обнаружены уязвимости в Remote Access Connection Manager (RasMan) и AMD Secure Processor, которые уже активно используются для повышения прав доступа. RasMan позволяет злоумышленникам использовать уязвимость привилегий, а в AMD Secure Processor — уязвимость запуска гипервизора для коррупции памяти гостевой системы.
Среди других исправлений Microsoft указала критическую уязвимость в графическом компоненте Windows, что позволяет злоумышленнику, имеющему доступ к гостевой ВМ, получить SYSTEM-привилегии на хост-системе.
Завершение поддержки и обновления SAP
14 октября поддержка старых версий Windows 10 заканчивается. Доступ к обновлениям безопасности будет блокирован, кроме как для участников программы расширенной поддержки. SAP выпустила набор обновлений и рекомендаций по уязвимостям в своих продуктах, таких как NetWeaver и SAPSprint, которые также требуют срочного обновления.
Администраторам рекомендуется немедленно установить обновления, с акцентом на уязвимости с высоким уровнем угрозы и уязвимости, использующиеся в реальных атаках, а также регулярно мониторить уведомления облачных провайдеров по вопросам безопасности.
