Microsoftova prva runda Patch Tuesday ažuriranja za 2026. godinu rješava ukupno 112 ranjivosti, uključujući i jednu zero-day ranjivost koja je već aktivno iskorišćavana u napadima.
Iskorišćena ranjivost prati se pod oznakom CVE-2026-20805, a Microsoft ju je opisao kao problem curenja informacija važnog nivoa ozbiljnosti u komponenti Desktop Windows Manager u Windows operativnom sistemu.
„Izlaganje osjetljivih informacija neovlašćenom akteru u Desktop Windows Manageru omogućava ovlašćenom napadaču da lokalno otkrije informacije“, navodi Microsoft u svom bezbjednosnom savjetu, dodajući: „Vrsta informacija koja može biti otkrivena uspješnom eksploatacijom ove ranjivosti je adresa sekcije iz udaljenog ALPC porta, koja se nalazi u korisničkom (user-mode) memorijskom prostoru.“
Ranjivost CVE-2026-20805 otkrili su Microsoftovi interni istraživači, ali tehnološki gigant nije objavio dodatne detalje o napadima u kojima je zero-day iskorišćavan.
Prema procjeni Trend Micro ZDI programa, hakeri su najvjerovatnije koristili ovaj propust u ciljanim napadima, kao dio lanca eksploatacije u kojem je adresa dobijena iskorišćavanjem CVE-2026-20805 korisna za postizanje proizvoljnog izvršavanja koda.
„Ovo pokazuje koliko curenja memorije mogu biti jednako važna kao i greške koje omogućavaju izvršavanje koda, jer čine RCE napade pouzdanijim“, naveo je Dustin Childs iz ZDI-ja.
Dodatno, dvije Windows ranjivosti zakrpljene ovog mjeseca bile su javno objavljene prije nego što su ispravke postale dostupne: CVE-2026-21265 (zaobilaženje Secure Boot mehanizma) i CVE-2023-31096 (eskalacija privilegija).
Na osnovu Microsoftove procjene, samo se potonja smatra ranjivošću za koju je „vjerovatnije“ da će biti iskorišćena u stvarnim napadima.
Osam ranjivosti u Windowsu i Office proizvodima, zakrpljenih ovog mjeseca, dobilo je kritičnu ocjenu ozbiljnosti. Većina njih može se iskoristiti za udaljeno izvršavanje koda, dok nekoliko omogućava eskalaciju privilegija.
Pored Windowsa i Office aplikacija, Microsoft je riješio i ranjivosti u Azure i SharePoint servisima.
Istovremeno, Adobe je u okviru svojih Patch Tuesday ažuriranja zakrpio 25 ranjivosti, uključujući i kritičan propust u Apache Tika komponenti koja pogađa ColdFusion.
Izvor: SecurityWeek