Aktualizacja Windowsa. Zainstaluj lutowe poprawki

W tym miesiącu na liście poważnych problemów, a więc takich umożliwiających atak przez sieć lub niewymagających interakcji ze strony użytkownika, znalazło się sześć kwestii. Ich różnorodność nie uległa zmianie, powrócił jednak problem znany z wielu poprzednich "łatkowych wtorków". Jest nim przeszacowywanie powagi zagrożeń. Microsoft klasyfikuje błędy wymagające lokalnego uruchomienia kodu jako podatności zdalne, jeżeli trzeba do ich wykorzystania uruchomić kod z internetu. Jest to nadużycie definicji. Takie ataki powinny być klasyfikowane jako lokalne.

Prowadzi to do zabawnych koincydencji. Taki sam poziom istotności przypisano słabości projektowej nowego Notatnika (CVE-2026-20841) oraz dziurze umożliwiającej ominięcie zabezpieczeń enklaw VBS, implementowanych za pomocą wirtualizacji Hyper-V (CVE-2026-21255). Jest to dość groteskowa sytuacja, bowiem problemy te nie są ani trochę zbliżone. Podatność w Notatniku dotyczy omijania Stref Zabezpieczeń, analizy SmartScreen oraz upoważnień do wykonywania plików, jeżeli kliknie się złośliwy link w widoku Markdown.

Dowodzi to przy okazji dwóch rzeczy: po pierwsze, wiele zaawansowanych mechanizmów zabezpieczeń Windows jest bezużytecznych jeżeli aplikacja po prostu nie będzie ich implementować. Po drugie, zmaterializowało się to, co wszyscy podejrzewali od samego początku: dodawania zaawansowanych funkcji i dynamicznych widoków do prostego edytora plików tekstowych to proszenie się o kłopoty.

Dziura w Hyper-V to zupełnie inny kaliber. Wymaga ona od atakującego możliwości wykonywania arbitralnego kodu w maszynie wirtualnej pracującej pod kontrolą Hyper-V i korzystającej z zabezpieczeń opartych o wirtualizację (VBS). Złośliwy program jest w stanie ominąć działanie VBS uruchomionego w takich okolicznościach i naruszyć integralność jądra, łamiąc tym samym zabezpieczenie wynikające z funkcji Izolacji Rdzenia. Problem dotyczy systemów Windows Server 2019 i nowszych, w tym klienckich.

Pozostałe błędy są jeszcze mniej spektakularne, choć wyceniono je tak samo wysoko. Podatności CVE-2026-21513 oraz CVE-2026-21510 opisują możliwość zdalnego wykonania kodu w całości za pomocą pliku LNK, bez konieczności stosowania jakichkolwiek innych. Arbitralne polecenia są wykonalne z poziomu LNK zgodnie z implementacją, ale powinny one wywoływać odpowiednie alerty/blokady (MotW) lub analizy SmartScreen.

Tymczasem odnaleziono kolejny sposób na to, by interakcja z plikiem LNK doprowadziła do wykonania kodu całkowicie po cichu. Problem załatano we wszystkich wersjach Windows od wersji Windows Server 2012, która jest najstarszą obsługiwaną, co każe podejrzewać, że problem jest obecny także w znacznie starszych wydaniach (jak Windows XP).

Szczyt listy zamyka dość ironiczna podatność CVE-2026-21537, czyli błąd umożliwiający zdalne wykonanie kodu w opcjonalnym komponencie jakim jest pakiet bezpieczeństwa Microsoft Defender for Endpoint dla Linuksa. To nie pierwszy przypadek, w którym dodatkowe oprogramowanie Microsoftu dla maszyn wirtualnych z Linuksem zawiera poważne błędy.

Aktualizacje lutowe to pierwsze wydanie, w którym nieobecne są poprawki pasujące do systemów Windows Vista i 7, a celujące w Windows Server 2008 i 2008 R2. Jest to także pierwszy miesiąc wsparcia dość tajemniczej i niedostępnej dla większości użytkowników wersji 26H1 systemu Windows 11. Jej nietypowość okazuje się jeszcze większa, gdy zestawi się ją z faktem, że wersja Dev, testowana obecnie jak potencjalny kandydat na wydanie 26H2, jest oparta o starszy kod. Windows Update wkrótce przyniesie rozwiązanie tej zagadki. Póki co, możemy z niego pobrać lutowe poprawki. Dla Windows 11 w najnowszej ogólnodostępnej wersji waży ona 4,375 GB.