Microsoft выпустила ежемесячный пакет обновлений безопасности, в рамках которого были устранены две уязвимости класса zero-day в Windows, ранее опубликованные исследователем, известным под псевдонимом Nightmare Eclipse. По данным компании, всего в обновлении закрыто около 200 уязвимостей различной степени серьёзности.
Zero-day уязвимости относятся к классу ошибок, о которых становится известно до выпуска официального патча, что делает их потенциально опасными для эксплуатации в реальных атаках. В данном случае речь идёт о нескольких высокосерьёзных дефектах, включая CVE-2026-45586 — уязвимость локального повышения привилегий, позволяющую злоумышленнику с низкими правами потенциально получить системный уровень доступа (SYSTEM) и установить вредоносное ПО.
Microsoft заявила, что эксплуатация CVE-2026-45586 не требует взаимодействия с пользователем и имеет низкую сложность, что повышает вероятность её использования в реальных атаках. Ошибка связана с некорректным разрешением ссылок перед доступом к файлам (так называемый link following) в Windows Collaborative Translation Framework. При этом признаков активного использования уязвимости в атаках на момент публикации не зафиксировано.
Второй исправленный баг, получивший неофициальное название MiniPlasma, оказался связан с более ранней уязвимостью CVE-2020-17103, впервые закрытой Microsoft около шести лет назад. Это указывает на регрессию или неполное исправление предыдущего патча, после которого проблема вновь проявилась в системе.
Параллельно остаётся открытым ряд других уязвимостей, раскрытых тем же исследователем. Среди них — YellowKey, позволяющая обходить защиту BitLocker, встроенной системы полного шифрования диска в Windows. Microsoft пока не выпустила полноценного исправления и ограничилась инструкциями по ручному смягчению риска.
Также упоминаются другие потенциально критические дефекты, включая BlueHammer — ещё одну уязвимость локального повышения привилегий, и RedSun, связанную с Windows Defender. Отдельно исследователь опубликовал эксплуатационный код для новой уязвимости, связанной с состоянием race condition в Defender.
Ситуация осложняется конфликтом между Microsoft и исследователем. По сообщениям сторон, Nightmare Eclipse ранее сотрудничал с компанией в рамках соглашения о раскрытии уязвимостей, однако впоследствии отношения обострились. Исследователь утверждает, что договорённости были нарушены, что привело к преждевременной публикации части материалов, включая proof-of-concept-код.
В публичных заявлениях он критиковал программу ответственного раскрытия уязвимостей Microsoft и обвинял компанию в недобросовестном поведении. Microsoft, в свою очередь, заявляла о нарушении правил disclosure и допускала возможность юридических действий, однако позже отказалась от эскалации конфликта.
На фоне этого противостояния продолжается публикация новых технических деталей уязвимостей. При этом остаётся неясным статус части ранее раскрытых проблем — некоторые из них либо ещё не исправлены, либо находятся в процессе обновления бюллетеней безопасности.
