Microsoft v novembrovom balíku aktualizácií Patch Tuesday opravil 2 kritické a šesť aktívne zneužívaných zraniteľností

Spoločnosť Microsoft vydala Vo februári 2026 balík opráv pre portfólio svojich produktov opravujúci 54 zraniteľností, z ktorých 2 spoločnosť označila ako kritické. Tieto umožňujú získať citlivé informácie a eskalovať oprávnenia. Šesť opravených zraniteľností je aktívne zneužívaných a umožňujú eskalovať oprávnenia útočníka, obchádzať bezpečnostné prvky a zneprístupniť službu.

Zraniteľné systémy:

• .NET 10.0 installed on Linux
• .NET 10.0 installed on Mac OS
• .NET 10.0 installed on Windows
• .NET 8.0 installed on Linux
• .NET 8.0 installed on Mac OS
• .NET 8.0 installed on Windows
• .NET 9.0 installed on Linux
• .NET 9.0 installed on Mac OS
• .NET 9.0 installed on Windows
• Azure AI Language Authoring
• Azure DevOps Server 2022
• Azure HDInsight
• Azure IoT Explorer
• Azure Local
• GitHub Copilot Plugin for JetBrains IDEs
• Microsoft 365 Apps for Enterprise for 32-bit Systems
• Microsoft 365 Apps for Enterprise for 64-bit Systems
• Microsoft ACI Confidential Containers
• Microsoft Defender for Endpoint for Linux
• Microsoft Excel 2016 (32-bit edition)
• Microsoft Excel 2016 (64-bit edition)
• Microsoft Exchange Server 2016 Cumulative Update 23
• Microsoft Exchange Server 2019 Cumulative Update 14
• Microsoft Exchange Server 2019 Cumulative Update 15
• Microsoft Exchange Server Subscription Edition RTM
• Microsoft Office 2019 for 32-bit editions
• Microsoft Office 2019 for 64-bit editions
• Microsoft Office LTSC 2021 for 32-bit editions
• Microsoft Office LTSC 2021 for 64-bit editions
• Microsoft Office LTSC 2024 for 32-bit editions
• Microsoft Office LTSC 2024 for 64-bit editions
• Microsoft Office LTSC for Mac 2021
• Microsoft Office LTSC for Mac 2024
• Microsoft Outlook 2016 (32-bit edition)
• Microsoft Outlook 2016 (64-bit edition)
• Microsoft SharePoint Enterprise Server 2016
• Microsoft SharePoint Server 2019
• Microsoft SharePoint Server Subscription Edition
• Microsoft Visual Studio 2022 version 17.14
• Microsoft Visual Studio 2022 version 18.3
• Microsoft Word 2016 (32-bit edition)
• Microsoft Word 2016 (64-bit edition)
• Office Online Server
• Power BI Report Server
• Visual Studio Code
• Windows 10 Version 1607 for 32-bit Systems
• Windows 10 Version 1607 for x64-based Systems
• Windows 10 Version 1809 for 32-bit Systems
• Windows 10 Version 1809 for x64-based Systems
• Windows 10 Version 21H2 for 32-bit Systems
• Windows 10 Version 21H2 for ARM64-based Systems
• Windows 10 Version 21H2 for x64-based Systems
• Windows 10 Version 22H2 for 32-bit Systems
• Windows 10 Version 22H2 for ARM64-based Systems
• Windows 10 Version 22H2 for x64-based Systems
• Windows 11 Version 23H2 for ARM64-based Systems
• Windows 11 Version 23H2 for x64-based Systems
• Windows 11 Version 24H2 for ARM64-based Systems
• Windows 11 Version 24H2 for x64-based Systems
• Windows 11 Version 25H2 for ARM64-based Systems
• Windows 11 Version 25H2 for x64-based Systems
• Windows 11 Version 26H1 for ARM64-based Systems
• Windows 11 version 26H1 for x64-based Systems
• Windows App for Mac
• Windows Notepad
• Windows Server 2012
• Windows Server 2012 (Server Core installation)
• Windows Server 2012 R2
• Windows Server 2012 R2 (Server Core installation)
• Windows Server 2016
• Windows Server 2016 (Server Core installation)
• Windows Server 2019
• Windows Server 2019 (Server Core installation)
• Windows Server 2022
• Windows Server 2022 (Server Core installation)
• Windows Server 2022, 23H2 Edition (Server Core installation)
• Windows Server 2025
• Windows Server 2025 (Server Core installation)

Opis činnosti:

V rámci októbrového balíka Patch Tuesday opravila spoločnosť Microsoft vo svojich produktoch 54 zraniteľností. Z nich 2 zaradila spoločnosť Microsoft do kategórie kritické a 51 bolo vyhodnotených ako vysoko závažné („Important“). Šesť zraniteľností je aktívne zneužívaných. Kritické zraniteľnosti umožňujú získať citlivé informácie a eskalovať oprávnenia.

CVE-2025-21510 (CVSS skóre 8,8)

Aktívne zneužívaná vysoko závažná zraniteľnosť sa nachádza v bezpečnostnom mechanizme Windows Shell. Vzdialený neautorizovaný útočník by ju mohol zneužiť podvrhnutím špeciálne vytvorených URL odkazov alebo súborov na obídenie Windows SmartScreen a bezpečnostných výziev. Zneužitie zraniteľnosti vyžaduje interakciu zo strany obete, ktorá musí otvoriť špeciálne vytvorený súbor alebo URL odkaz.

CVE-2026-21513 (CVSS skóre 8,8)

Aktívne zneužívaná zraniteľnosť bezpečnostného mechanizmu MSHTML Framework. Vzdialený neautorizovaný útočník ju môže zneužiť na jeho obídenie a prípadne môže získať schopnosť vykonávať kód. Zneužitie zraniteľnosti vyžaduje interakciu zo strany obete, ktorá musí otvoriť špeciálne vytvorený súbor alebo URL odkaz.

CVE-2025-21514 (CVSS skóre 7,8)

Aktívne zneužívaná zraniteľnosť v Microsoft Word spočíva v závislosti bezpečnostných rozhodovaní na nedôveryhodných vstupoch. Neautorizovaný útočník ju môže lokálne zneužiť podvrhnutím špeciálne vytvorených súborov Office na obídenie bezpečnostných mechanizmov na ochranu pred zraniteľnými komponentami COM/OLE. Zneužitie zraniteľnosti vyžaduje interakciu zo strany obete, ktorá musí škodlivý súbor otvoriť.

CVE-2025-21519 (CVSS skóre 7,8)

Aktívne zneužívaná zraniteľnosť v komponente Desktop Window Manager môže lokálny útočník s nízkymi oprávneniami zneužiť na eskaláciu oprávnení na úroveň SYSTEM. Zraniteľnosť súvisí so zámenou typu premennej.

CVE-2025-21525 (CVSS skóre 6,2)

Aktívne zneužívaná zraniteľnosť vo Windows Remote Access Connection Manager spočíva v dereferencii nulového ukazovateľa. Lokálny neautorizovaný útočník by ju mohol zneužiť na zneprístupnenie služby.

CVE-2025-21533 (CVSS skóre 7,8)

Aktívne zneužívaná zraniteľnosť vo Windows Remote Desktop by lokálny autorizovaný útočník mohol zneužiť na pridanie nových používateľských kont do skupiny Administrator. Útočník môže eskalovať svoje privilégiá až na úroveň SYSTEM.

Zraniteľnosti CVE-2026-21522 a CVE-2026-23655 v Azure Compute Gallery, ktoré spoločnosť označila ako kritické, možno zneužiť na eskaláciu privilégií, neoprávnený prístup k citlivým údajom, vrátane tokenov a kľúčov.

Možné škody:

• Únik citlivých informácií
• Vzdialené vykonávanie kódu
• Eskalácia oprávnení
• Nedostupnosť služby (DoS)
• Obídenie bezpečnostného prvku
• Spoofing

Odporúčania:

Administrátorom a používateľom zraniteľných verzií odporúčame bezodkladne vykonať aktualizácie dostupné priamo zo systému alebo zo stránky výrobcu. Pre konkrétny prehľad si treba vo filtroch zvoliť mesiac október a Mode „Update Tuesday“. Bližšie informácie nájdete aj tu.

Odkazy:

• https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2026-patch-tuesday-fixes-6-zero-days-58-flaws/
• https://msrc.microsoft.com/update-guide/en-us
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-21510
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-21513
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-21514
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-21519
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-21525
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-21533