Adobe, Microsoft и сотни дыр в защите. Почему апрельские обновления нельзя откладывать

У Windows выдался тяжелый вторник. У системных администраторов тоже.

Апрельский «вторник исправлений» (Patch Tuesday) выдался таким, что пропустить его не получится даже при большом желании. Компании выпустили сотни исправлений, а часть уязвимостей уже используют в атаках, поэтому откладывать обновления сейчас рискованно.

Adobe закрыла 61 уязвимость в 12 продуктах. Проблемы нашли в Acrobat Reader, InDesign, Photoshop, Illustrator, ColdFusion и других программах. Самая неприятная история связана с Acrobat Reader: одну из дыр уже используют злоумышленники. Уязвимость получила максимальный приоритет, обновление советуют ставить сразу. Второй набор исправлений для Reader тоже лучше не игнорировать.

Отдельно выделяется ColdFusion. Там закрыли семь уязвимостей с высокой оценкой опасности, и обновление также получило приоритет «срочно». В других продуктах ситуация спокойнее: ошибки есть, но на момент выхода патчей атак на них не зафиксировали.

Гораздо масштабнее выступила Microsoft. Компания устранила 163 уязвимости, а если учитывать сторонние компоненты и обновления Chromium, общее число доходит до 247. По объёму это один из крупнейших выпусков за всю историю.

Не спрашивайте почему мы в MAX. Мы и сами не гордимся

Одна из уязвимостей уже применяется в реальных атаках. Речь про CVE-2026-32201 в SharePoint Server . Подробностей немного, но подобные ошибки часто связаны с межсайтовым выполнением сценариев и позволяют менять или читать данные на сервере. Если SharePoint доступен из интернета, обновление лучше не откладывать.

Ещё одна заметная проблема, CVE-2026-33825 в Защитнике Windows, уже стала публичной. Эксплуатация работает нестабильно, но уязвимость реальная, и исправление выпустили.

Сразу две уязвимости выглядят как потенциальные «черви». Первая, CVE-2026-33827 , затрагивает сетевой стек Windows и позволяет удалённо выполнить код без авторизации и без участия пользователя. При определённых настройках сети злоумышленник может распространять атаку автоматически. Вторая, CVE-2026-33824 , связана с протоколом обмена ключами IKE. Там частично помогает блокировка UDP-портов 500 и 4500, но внутри сети риск сохраняется.

В числе критических проблем есть и ошибки в офисных приложениях, где снова фигурирует панель предварительного просмотра как возможный вектор атаки. Также нашли уязвимость в клиенте удалённого рабочего стола, но для атаки нужно подключение к вредоносному серверу.

Большая часть апрельских исправлений закрывает повышение привилегий. В большинстве случаев злоумышленник, уже попавший в систему, может получить права администратора или уровня SYSTEM. Есть и исключения. Например, уязвимость в Azure Monitor Agent даёт доступ уровня root, а ошибка в SQL Server позволяет получить права администратора базы данных.

Отдельный пласт составляют обходы защитных механизмов. Уязвимости затрагивают BitLocker, Secure Boot, Windows Hello и даже PowerShell. В одном случае злоумышленник может обойти проверку выражений и добиться выполнения кода. В другом – вмешаться в работу изолированной среды Virtualization-Based Security и получить доступ к защищённой памяти.

Информационные утечки выглядят менее опасно, но тоже помогают в атаках. Чаще всего речь идёт об утечке адресов памяти или данных из песочницы. В числе редких случаев – утечка содержимого Model Context Protocol при работе с Copilot. Апрельский набор патчей получился тяжёлым и по количеству, и по содержанию. На фоне уже известных атак и потенциально «самораспространяющихся» угроз тянуть с обновлениями в этот раз точно не стоит.