Zaktualizuj Windowsa: wydano lipcowe poprawki

Wydano lipcowe aktualizacje bezpieczeństwa dla produktów Microsoftu. Łatają one olbrzymią liczbę podatności, z których wiele jest zaskakująco poważnych. Tak istotnego pakietu poprawek nie dostaliśmy z Redmond już od dawna.

Zaktualizuj WindowsaZaktualizuj Windowsa
Źródło zdjęć: © dobreprogramy | Kamil Dudek
Kamil J. Dudek

Zazwyczaj aktualizacje Windowsów, choć dostarczają miesięcznie kilkadziesiąt łatek (w jednym, zbiorczym pakiecie), nie są "niezbędne do przeżycia". Oczywiście aktualne oprogramowanie to ważna sprawa: zarówno pod względem bezpieczeństwa, jak i wsparcia technicznego. Ale większość poprawek, co do zasady, naprawia tzw. dziury lokalnego podniesienia uprawnień (LPE). Są to podatności, które mogą być wykorzystane dopiero, gdy użytkownik najpierw uruchomi jakiś złośliwy kod.

Domowy Windows to mniejszy problem

LPE w konsumenckim Windowsie to zabawna sprawa. Co prawda nikt już "nie pracuje na adminie" dzięki UAC, ale złośliwe ominięcie UAC przy domyślnych ustawieniach jest trywialne (i nie zawsze blokowane przez Defendera...). Domyślnie konto Microsoft umożliwia otrzymanie praw administracyjnych przez zwykłe potwierdzenie. Nie trzeba kombinować z żadnym LPE. To nieco uproszczony opis, bo LPE wciąż są niepożądane i w takim scenariuszu, ale z pewną dozą nadużycia można stwierdzić, że problem dotyczy głównie firm i środowisk kontrolowanych.

Co innego, gdy problemy z zabezpieczeniami dotyczą domyślnych protokołów sieciowych lub wręcz samego stosu sieciowego. Wtedy narażają one na zagrożenie każdy komputer "po prostu podpięty do sieci". Naturalnie, i tu są ograniczenia. Wiele komputerów pracuje w domowych sieciach lokalnych, w których szansa na złośliwe urządzenia jest nieco niższa (choć na pewno nie zerowa, a i są dostępne sposoby "wskoczenia" do domowego NAT-u). Sieci tworzone przez hotspoty mobilne i publiczne access pointy również są mocno filtrowane. Niemniej, dziura w obsłudze sieci to kłopoty. A tych kłopotów jest tym razem całkiem sporo.

Wadliwe protokoły

Lista poprawek zaczyna się niewinnie (i dość tradycyjnie): dziurami w Zdalnym Pulpicie. Podatności CVE-2026-50666, CVE-2026-50369, CVE-2026-50474, CVE-2026-56647, CVE-2026-58626, CVE-2026-54990, CVE-2026-56190 i CVE-2026-58594 pozwalają odpowiednio złośliwie zestawionej komunikacji na zdalne wykonanie kodu z maksymalnymi uprawnieniami. Zdumiewa skala "dziurawości" protokołu zdalnego pulpitu. Jest on łatany od kilku lat dość intensywnie, a wciąż znajdowane są w nim kolejne słabości.

Później robi się trochę gorzej: dziury w obsłudze DHCP. Dotyczą zarówno serwera (CVE-2026-56159, CVE-2026-50518, CVE-2026-50370, CVE-2026-48564), jak i - niestety - klienta (CVE-2026-54128, CVE-2026-50683) i wektory ataku są zarówno lokalne, jak i zdalne. W przeciwieństwie do serwerów zdalnego pulpitu i DHCP, klient DHCP jest już wszędzie. Podobnie jak klient DNS. On także jest dziurawy (CVE-2026-50487).

Kilka innych usług sieciowych również było podatnych na ataki. Są wśród nich usługi rzadko używane w Windowsie, jak FTP (CVE-2026-49172) i MSMQ (CVE-2026-50439, CVE-2026-50447). Ale oberwało się także usłudze SMB, domyślnie włączonej i powszechnie używanej (CVE-2026-50360). Dziury pozwalają na zdalne wykonanie kodu i odczytanie przesyłanych danych. Nie pomaga nawet szyfrowanie, którego obsługa (niespodzianka) również okazała się wadliwa (CVE-2026-56186).

Dziurawa obsługa sieci

Wreszcie, problemy zachodzą w samym stosie sieciowym. Dotyczą na przykład obsługi protokołu transportowego Reliable Multicast (CVE-2026-54982, CVE-2026-54995), ale także jeszcze niższych warstw, jak po prostu obsługa samego TCP/IP (CVE-2026-54999). Problem dotyczy wszystkich obsługiwanych wersji Windows, co oznacza, że dziura była obecna od co najmniej piętnastu lat. Udało się nawet popsuć obsługę NAT (CVE-2026-56181), w dodatku jedynie w najnowszej wersji Windows (24H2 i pochodnych).

Wszystkim, którzy chcieliby skomentować powyższą feerię dziur stwierdzeniem, że najlepszym zabezpieczeniem jest odcięcie go od internetu, dedykowana jest podatność CVE-2026-50661, która pozwala sforsować szyfrowanie dysków BitLocker (w ramach domyślnych ustawień).

Lipcowy zestaw poprawek zaskakuje obfitością. Możliwe, że wynika ona ze wspomagania sztuczną inteligencją (Claude Mythos) i kolejne miesiące również będą pełne tak ogromnych aktualizacji. Z drugiej strony, choć lista aktualizacji jest długa, Microsoft nie wydał żadnej poprawki poza harmonogramem, co oznacza że AI nie wykryło jeszcze żadnej "bomby", której publikacja odbyłaby się w złośliwy sposób. Zobaczymy, co przyniesie sierpniowy pakiet poprawek. Tymczasem aktualizacja zbiorcza dla Windows waży już 5,4 gigabajta.

Wybrane dla Ciebie
MOŻE JESZCZE JEDEN ARTYKUŁ? ZOBACZ CO POLECAMY