Pięćset siedemdziesiąt poprawek w jeden wtorek
Microsoft Security Response Center opublikował lipcową aktualizację we wtorek 14 lipca, a lista nie skończyła się tam, gdzie ktokolwiek się tego spodziewał. Microsoft załatał 570 podatności w jednym wydaniu. Poprzedni rekord, ustanowiony sześć tygodni wcześniej w czerwcu, wynosił 206. Pięćdziesiąt dziewięć lipcowych luk ma status krytycznych, a 48 z nich pozwala na zdalne wykonanie kodu. Pełny podział to 254 luki podniesienia uprawnień, 145 zdalnego wykonania kodu, 102 ujawnienia informacji, 35 odmowy usługi, 17 obejść funkcji bezpieczeństwa i 16 luk podszywania się. Suma nie obejmuje luk Chromium, które dziedziczy Edge.
Dlaczego to się liczy. Miesięczne okno łatania to stała liczba godzin pracy. Liczba pozycji, które trzeba przez nie przepchnąć, prawie się potroiła, a producent napisał czarno na białym, że to nie jest jednorazowy skok. Każdy proces, który zakłada, że administrator przeczyta listę, zważy każdą pozycję i podejmie decyzję, pękł we wtorek.
Dwie są już używane przeciwko ADFS i SharePointowi
Trzy z 570 to luki zero-day, a dwie z nich są aktywnie atakowane. CVE-2026-56155 to luka podniesienia uprawnień w Active Directory Federation Services, w której zbyt mało szczegółowa kontrola dostępu pozwala uprawnionemu napastnikowi podnieść uprawnienia lokalnie. CVE-2026-56164 to luka podniesienia uprawnień w SharePoint Serverze, w której brak sprawdzenia uwierzytelnienia na krytycznej funkcji pozwala nieuwierzytelnionemu napastnikowi podnieść uprawnienia przez sieć. Trzecia, CVE-2026-50661, to ujawnione publicznie obejście funkcji bezpieczeństwa BitLockera.
Żadna z dwóch wykorzystywanych luk nie jest egzotyczna i o to właśnie chodzi. Active Directory Federation Services to maszyna, która wydaje wasze tokeny federacyjne. W SharePoincie leżą wasze umowy, materiały zarządu i listy klientów. Kto podniesie uprawnienia na którymkolwiek z nich, nie potrzebuje drugiego exploita, żeby sięgnąć po resztę. Jeśli prowadzicie któryś u siebie, są to jedyne dwie pozycje z lipcowej listy, które wymagają decyzji dzisiaj. CERT Polska zwykle wydaje własne ostrzeżenie, gdy luka tego rodzaju jest już wykorzystywana.
Obejście BitLockera atakuje obronę prawną, a nie laptop
CVE-2026-50661 pozwala napastnikowi z dostępem fizycznym dotrzeć do danych na zaszyfrowanym wolumenie. Czytana jako problem inżynierski, jest to usterka urządzenia, która wymaga trzymania maszyny w ręku. Czytana jako europejski problem zgodności, jest czymś innym. Artykuł 34 RODO mówi, że administrator nie musi zawiadamiać osób, których dane dotyczą, jeżeli ujawnione dane stały się nieczytelne dla osób nieuprawnionych, a pełne szyfrowanie dysku jest powodem, dla którego większość zgubionych lub skradzionych laptopów nigdy nie staje się zdarzeniem podlegającym zgłoszeniu.
Konsekwencja. To rozumowanie trzyma się tak długo, jak długo trzyma się szyfrowanie. Opublikowane obejście czyni je spornym, a argument ma teraz numer CVE, który każdy organ nadzorczy może sprawdzić. Termin 72 godzin z artykułu 33 nie zatrzymuje się, kiedy ustalacie swoje stanowisko. Kto przedstawia BitLockera jako odpowiedź na zgubiony sprzęt, powinien mieć tę poprawkę na całym parku maszyn, zanim zniknie kolejny laptop, i powinien umieć wykazać datę.
Microsoft mówi, że powódź to nowy punkt wyjścia
Ten skok nie bierze się ze złego miesiąca w kodzie. Dziewiątego lipca, pięć dni przed wydaniem, Microsoft opublikował na Windows Experience Blogu wpis wyjaśniający, że przepuścił przez całą bazę kodu Windows system sztucznej inteligencji o nazwie MDASH, swoją wielomodelową uprząż do skanowania agentowego. MDASH przegląda krytyczne pliki binarne i weryfikuje znaleziska kilkoma modelami. Pierwszy publiczny plon, w maju, to 16 nieznanych wcześniej CVE, w tym cztery krytyczne luki zdalnego wykonania kodu w kluczowych komponentach, takich jak stos TCP/IP jądra, usługa IKEv2, Netlogon i biblioteka API DNS. Microsoft powiedział klientom wprost, żeby spodziewali się większej liczby aktualizacji bezpieczeństwa w każdym wydaniu.
Nie dotyczy to jednego producenta. Chrome 150 wyszedł z 433 poprawkami bezpieczeństwa. Adobe przeszło na dwa wydania miesięcznie, a Mozilla na rytm dwutygodniowy. Branża zmechanizowała wyszukiwanie własnych błędów i dotrzymuje kroku w dostarczaniu ich wam. Wasza zdolność ich wchłonięcia nie drgnęła ani o milimetr.
Zmieńcie miarę, zanim zmienicie harmonogram
Odruchem jest prośba o więcej godzin na łatanie. To zła dźwignia, bo wejście nie ma już sufitu. Odpowiedź, która działa, polega na tym, żeby przestać traktować listę CVE jak kolejkę do opróżnienia i zacząć traktować ją jak sygnał do przefiltrowania. Dwa filtry wykonują niemal całą pracę: czy luka jest wykorzystywana i czy dotknięty system jest osiągalny z zewnątrz. Trzy z 570 luk przeszły w tym miesiącu pierwszy filtr. To jest lista, którą człowiek naprawdę zdoła przeczytać.
Wniosek. Miara dla zarządu musi się przesunąć razem z nią. Odsetek pokrycia poprawkami mierzy dziś skaner Microsoftu, a nie waszą obronę, i z miesiąca na miesiąc będzie wyglądał gorzej, znacząc coraz mniej. Raportujcie zamiast tego czas, w jakim załataliście luki wykorzystywane i wystawione do internetu. Ta liczba jest wasza, jest dość mała, żeby jej bronić, i jest jedyną, która obchodzi napastnika.
Czytaj dalej: Wymieńcie każdy sekret, który widział Grok Build | Microsoft przesuwa termin kwantowy na 2029



