Каждый второй вторник месяца системные администраторы открывают один и тот же документ - бюллетень безопасности Microsoft. Обычно это рутина: несколько десятков CVE, пара критических правок, перезагрузка. Июнь 2026 года нарушил эту рутину. Вместо привычных 60-70 уязвимостей список вырос до 208 позиций - и это не просто рекорд в цифрах, а сигнал о том, как меняется сам рынок поиска уязвимостей в эпоху ИИ-инструментов. Вместе с патчами безопасности пришло и обновление KB5094126 - одно из самых насыщенных по функциональности за всю историю ежемесячных накопительных обновлений Windows 11.
Масштаб июньского пакета - рекорд за всю историю Patch Tuesday
9 июня 2026 года Microsoft выпустила плановый пакет обновлений, который сразу же назвали историческим. По данным Zero Day Initiative, в релиз вошли исправления для 208 уязвимостей, из которых 38 получили статус "критических". Большинство критических проблем связаны с удалённым выполнением кода (RCE) - сценарием, когда атакующий запускает произвольный код на чужой машине через сеть или специально подготовленный файл.
Для контекста: майский Patch Tuesday 2026 года закрыл 65 уязвимостей в Windows 11 и 58 в Windows 10. Июньский скачок с ~65 до 208 - это не постепенный тренд, а резкий выброс. Аналитики из Windows Forum связывают его с ростом ИИ-инструментов для поиска уязвимостей: исследователи находят больше брешей быстрее, а значит, и вендоры получают больше отчётов за один цикл. У этой медали есть оборотная сторона - те же инструменты доступны и атакующим.
Среди 208 уязвимостей пять получили статус "нулевого дня": детали о них стали публично известны до выхода исправлений. Одна из них - CVE-2026-41091 в Microsoft Defender - уже активно использовалась в атаках до выхода патча. Ещё одна, CVE-2026-42897 в Microsoft Exchange Server, позволяла выполнять вредоносный JavaScript в браузере жертвы через Outlook Web Access и также была замечена в эксплуатации до релиза.
Самые опасные уязвимости и почему их важно закрыть немедленно
Из всего списка несколько уязвимостей заслуживают отдельного разговора - не потому что они сложнее других, а потому что условия их эксплуатации пугающе просты.
CVE-2026-47291 в компоненте HTTP.sys получила балл CVSS 9.8 из 10 - практически максимум. Эта уязвимость позволяет неаутентифицированному злоумышленнику удалённо выполнять код без какого-либо взаимодействия с пользователем. Достаточно отправить специально сформированный HTTP-запрос на уязвимый сервер - и атакующий получает полный контроль. Схожие параметры у CVE-2026-44815 в клиенте DHCP: тот же балл 9.8, та же возможность удалённой компрометации без участия пользователя. Для корпоративных сред с тысячами машин, подключённых к одному сегменту сети, это означает потенциально мгновенное распространение атаки.
Отдельно стоит CVE-2026-45657 - уязвимость удалённого выполнения кода в ядре Windows с возможностью получить привилегии уровня SYSTEM. И здесь нет требования к аутентификации или к каким-либо действиям жертвы. Всё это делает июньский пакет не просто "большим обновлением", а обновлением, откладывать которое для большинства систем неоправданно.
В Exchange Server закрыта CVE-2026-42897 - уязвимость межсайтового скриптинга (XSS), затрагивающая Outlook Web Access в локальных установках. До выхода патча администраторы использовали временный механизм смягчения через Exchange Emergency Mitigation Service - теперь постоянное исправление избавляет от необходимости в этом костыле.
YellowKey и GreenPlasma - публично раскрытые уязвимости с именами
Среди публично раскрытых нулевых дней выделяются две уязвимости, получившие собственные кодовые имена - знак того, что исследователи сообщества присвоили им достаточно высокий приоритет для отдельного трекинга.
YellowKey - это CVE-2026-50507, уязвимость в механизме шифрования BitLocker с баллом CVSS 6.8. По своей природе она физическая: для эксплуатации нужен прямой доступ к устройству. Злоумышленник, имеющий такой доступ, мог получить данные с зашифрованного диска через среду восстановления Windows на системах, где BitLocker защищал данные исключительно через модуль TPM без PIN-кода. Вероятность атаки через YellowKey особенно высока для ноутбуков с Windows 11 и серверов на Windows Server 2022/2025, где TPM-only конфигурация встречается чаще всего. Microsoft рекомендует в качестве дополнительной меры использовать PIN-аутентификацию при загрузке.
GreenPlasma - CVE-2026-45586 с баллом CVSS 7.8 - затрагивает Windows Collaborative Translation Framework (CTFMON), компонент для работы с вводом и языковыми функциями. Уязвимость позволяет авторизованному пользователю поднять привилегии до уровня SYSTEM. Иными словами, она превращает обычную учётную запись в полноправный административный доступ - классический сценарий для второго этапа атаки, когда первичное проникновение уже состоялось.
Также закрыта CVE-2026-49160 в HTTP.sys - уязвимость типа "отказ в обслуживании" с баллом 7.5. Она эксплуатирует обработку HTTP/2 и позволяет удалённому атакующему без аутентификации обрушить веб-сервер через технику HTTP/2 Bomb - лавинообразное увеличение размера запросов при минимальном трафике со стороны клиента.
Secure Boot и истечение сертификатов - негромкая, но серьёзная проблема
Параллельно с уязвимостями KB5094126 закрывает ещё одну тему, которая прошла мимо большинства пользователей, но потребовала внимания от каждого системного администратора. Сертификаты Secure Boot, выпущенные в 2011 году и до сих пор используемые на миллионах устройств, подошли к окончанию срока действия в июне 2026 года.
Microsoft планомерно обновляла эти сертификаты на потребительских и корпоративных устройствах на протяжении нескольких месяцев. Июньское обновление расширяет круг устройств, автоматически получающих новые сертификаты Windows UEFI CA 2023 взамен устаревших ключей. Важный нюанс: устройства, которые не успеют перейти на новые сертификаты до истечения летнего срока, продолжат работать в штатном режиме и получать стандартные обновления. Однако они потеряют возможность получать защиту для процесса ранней загрузки - будущие обновления загрузчика Windows, баз данных Secure Boot и списков отзыва критических уязвимостей до них не доберутся.
Для корпоративных команд это означает необходимость аудита парка: нужно убедиться, что на всех управляемых устройствах присутствует правильный файл boot.stl и применены актуальные сертификаты. Отдельное внимание - установочным образам Windows: если они не обновлены, новые развёртывания окажутся со старыми ключами прямо с момента установки.
KB5094126 - что изменилось для обычных пользователей
Накопительный пакет KB5094126 переводит Windows 11 версии 25H2 на сборку 26200.8655, а версию 24H2 - на 26100.8655. Помимо патчей безопасности, в нём сосредоточено столько пользовательских изменений, что аналитики называют июньский релиз одним из самых насыщенных ежемесячных обновлений за всю историю Windows 11.
Главное нововведение, которое многие ждали несколько месяцев, - функция Low Latency Profile. Технически это временный разгон процессора до максимальной частоты на 1-3 секунды в момент обращения к ключевым элементам интерфейса: меню "Пуск", строке поиска, центру уведомлений и панели быстрых настроек. Результат - системные меню открываются до 70% быстрее, а приложения запускаются до 40% быстрее по сравнению с предыдущей сборкой на том же железе. Low Latency Profile тестировалась в майском опциональном обновлении, а теперь разворачивается через обязательный патч - правда, постепенно, через механизм Controlled Feature Rollout.
Ещё одно заметное изменение - Multi-App Camera. Исторически Windows позволяла только одному приложению использовать веб-камеру одновременно: если Zoom захватил камеру, OBS оставался ни с чем. KB5094126 это меняет: одну камеру теперь могут использовать несколько приложений параллельно. Для стримеров, удалённых работников и преподавателей, ведущих видеоурок и параллельно записывающих его - это реальное улучшение повседневной работы.
Shared Audio - функция для устройств с поддержкой Bluetooth LE Audio. Теперь два Bluetooth-устройства могут одновременно слушать один и тот же звуковой поток с одного ПК. Пара наушников за столом без дополнительных адаптеров или приложений - звучит просто, но раньше требовало сторонних решений.
В диспетчере задач появились новые столбцы для мониторинга нейронного процессора (NPU): загрузка NPU, активные движки, выделенная и разделяемая память NPU теперь видны как на уровне системы, так и для каждого процесса отдельно. Добавлен столбец "Изоляция", показывающий, запущено ли приложение внутри песочницы AppContainer. Для разработчиков, тестирующих ИИ-приложения с локальным выводом, это первый нормальный инструмент диагностики NPU-нагрузки прямо в штатном интерфейсе Windows.
Preview-обновление KB5095093 - что ждёт пользователей в июле
23 июня 2026 года Microsoft выпустила опциональное превью-обновление KB5095093, которое переводит системы на сборки 26200.8737 (25H2) и 26100.8737 (24H2). Это так называемый C-release - необязательный пакет конца месяца, в котором тестируются функции следующего Patch Tuesday.
Главное новшество - Point-in-Time Restore. Это не просто переименованное "Восстановление системы" из Windows XP. Новая функция позволяет откатить ПК - включая приложения, настройки и пользовательские файлы - к недавней автоматической точке восстановления. Принципиальное отличие от классического System Restore в том, что покрытие шире: личные файлы тоже входят в снимок. Для обычного пользователя это означает реальный шанс вернуть систему в рабочее состояние после неудачного обновления или установки конфликтующего ПО без потери данных. Функция разворачивается постепенно - часть пользователей, установивших KB5095093, уже видят её в настройках восстановления.
KB5095093 также закрывает баг, который сам же внёс KB5094126: после июньского патча диалог подтверждения при постоянном удалении файла из корзины показывал внутреннее системное имя вида "$Rxxxxx.ext" вместо оригинального имени файла. Файл при этом восстанавливался корректно, но пользователи видели непонятные технические обозначения там, где ожидали увидеть "документ.docx".
Из других изменений в KB5095093: виджеты на панели задач теперь не открываются автоматически при наведении мыши - только по клику. Убраны универсальные новостные ленты, остался только локализованный контент. В Windows Update появился календарный интерфейс для паузы обновлений - можно выбрать конкретную дату окончания паузы вместо фиксированного периода, максимум до 35 дней. WSL получил улучшения в режиме зеркальной сети при работе с корпоративными сетями.
Проблемы с установкой и известные баги после июньского патча
Любой крупный Patch Tuesday приносит не только исправления, но и новые проблемы - это не исключение из правила, а почти закономерность.
На следующий день после релиза KB5094126 Microsoft сообщила, что обновление не устанавливается на части устройств. Проблема затронула ПК с Windows 10 версий 21H2 и 22H2, а также Windows 11 с версиями 23H2, 24H2 и 25H2. Пользователи сообщали о зависании на определённом этапе установки или об откате системы без явных сообщений об ошибке.
Отдельный баг, введённый KB5094126, затронул стороннее ПО, использующее OLE-автоматизацию для взаимодействия с Microsoft Office. При попытке открыть документ Word, Excel или PowerPoint из таких приложений процесс мог завершиться без сообщения об ошибке. В список затронутых программ попали CCH Engagement, Workpaper Manager, стоматологическое ПО Dentrix и Softdent, а также менеджер библиографий Zotero. Исправление этого поведения Microsoft обещала включить в следующий Patch Tuesday - до тех пор рекомендуется контактировать с техподдержкой для получения временного обходного решения.
Ещё одна проблема связана с виртуализацией: после майского превью KB5089573 часть устройств, работающих под управлением Hyper-V, WSL2 и сторонних гипервизоров, стала получать синие экраны с кодами HYPERVISOR_ERROR (0x20001) и KMODE_EXCEPTION_NOT_HANDLED (0x1E) при перезагрузке или во время работы виртуальных машин. KB5094126 устраняет эту регрессию - для тех, кто по этой причине намеренно пропустил майское превью, июньский обязательный патч закрывает и проблему стабильности, и уязвимости одновременно.
Что означает рекордный объём июня для будущих обновлений
208 уязвимостей в одном Patch Tuesday - это не просто большое число. Это возможный признак структурного сдвига в том, как находят и закрывают бреши в безопасности.
Аналитики из Windows Forum прямо указывают: ИИ-инструменты для анализа кода снижают стоимость поиска уязвимостей. Исследователи, которые раньше тратили недели на ручной аудит, теперь прогоняют большие фрагменты кода через модели-помощники и получают гипотезы о потенциальных проблемах за часы. Это ускоряет находку честных исследователей - и ровно с той же скоростью потенциально ускоряет работу тех, кто ищет уязвимости для эксплуатации.
Для Windows-администраторов это означает практический вывод: рассчитывать на то, что следующий Patch Tuesday вернётся к привычным 60 CVE, не стоит. Крупные пакеты могут стать нормой, а не исключением. Это меняет подход к тестированию: если раньше можно было проверить критические патчи вручную за несколько дней, то при 200+ позициях без автоматизированного тестирования и чётких приоритетов по CVSS-баллам выдержать сроки развёртывания становится сложнее.
Есть и хорошая новость в этой картине: активная эксплуатация подтверждена только для одной уязвимости из 208 - CVE-2026-41091 в Microsoft Defender. Три публично раскрытые уязвимости нулевого дня (BitLocker, CTFMON и HTTP.sys) попали в релиз без признаков активного использования в дикой природе. Это значит, что для большинства систем июньский Patch Tuesday - плановое, а не экстренное обновление. Плановое, но не необязательное.
Windows 10 в этом контексте стоит отдельно. С октября 2025 года стандартная поддержка версии 22H2 завершена. Июньский пакет охватывает только ESU-клиентов (Extended Security Updates) и LTSC-редакции. Для тех, кто ещё работает на обычной Windows 10 22H2 без ESU-подписки, июнь 2026 года - напоминание о том, что каждый следующий Patch Tuesday будет проходить мимо их систем, оставляя незакрытые бреши.
Канал сайта в Telegram
Канал сайта на YouTube