Microsoft opublikował rekordową aktualizację zabezpieczeń, usuwającą łącznie 622 luki w swoich produktach. Wśród załatanych błędów znajdują się dwa krytyczne zagrożenia typu zero-day, które były aktywnie wykorzystywane przez cyberprzestępców jeszcze przed wydaniem poprawek.
Kluczowe zagrożenia typu zero-day
Największe ryzyko dla użytkowników stanowiły dwie luki, które zostały już wykorzystane w rzeczywistych atakach:
Oprócz powyższych, Microsoft zwrócił uwagę na błąd w funkcji BitLocker (CVE-2026-50661), który został ujawniony publicznie przed terminem wydania poprawek. Pozwala on atakującym posiadającym fizyczny dostęp do urządzenia na obejście zabezpieczeń systemu. Eksperci sugerują, że może to mieć związek z serią niedawnych ujawnień luk przez badacza znanego jako Nightmare-Eclipse lub Chaotic-Eclipse, choć oficjalne potwierdzenie tej zależności nie zostało wydane.
Skala aktualizacji i priorytetowe poprawki
Lipcowy pakiet aktualizacji jest wyjątkowo obszerny. Z łącznej liczby 622 usuniętych luk, 416 dotyczy systemu Windows, a 164 pakietu Office. Pozostałe poprawki obejmują szerokie spektrum produktów, w tym Azure, Defender, Exchange Server, Edge oraz SQL Server.
Specjaliści ds. bezpieczeństwa wskazują na kilka szczególnie niebezpiecznych luk, które wymagają natychmiastowej uwagi administratorów:
Wśród innych istotnych zagrożeń wymieniono błędy typu XSS w Exchange Server (CVE-2026-55008) oraz luki pozwalające na zdalne wykonanie kodu (RCE) w protokole Remote Desktop, serwerze DHCP, sterownikach sieciowych Windows oraz serwerze Minecraft Bedrock.
Dlaczego liczba luk rośnie?
Rekordowa liczba 622 CVE w jednym miesiącu wpisuje się w trend wzrostowy obserwowany w tym roku. Pavan Davuluri, wiceprezes wykonawczy Windows, wyjaśnił, że Microsoft aktywnie wykorzystuje sztuczną inteligencję do przyspieszenia procesu wykrywania błędów. Firma wdrożyła system MDASH (multi-model agentic scanning harness), który pozwala na szybsze skanowanie kodu źródłowego systemu Windows.
Kontynuujemy ewolucję naszych wewnętrznych systemów i praktyk, aby wykrywanie luk nie było traktowane jako oddzielne działanie, lecz jako integralna część procesu tworzenia, przeglądu i ulepszania systemu Windows przed wydaniem nowych funkcji lub aktualizacji.
Warto dodać, że w tym samym czasie Adobe również wydało poprawki dla 88 luk, obejmujące m.in. krytyczne błędy w oprogramowaniu ColdFusion, Commerce, Experience Manager oraz Illustrator.

