Lipcowe poprawki bezpieczeństwa Microsoftu
Microsoft opublikował w lipcowym cyklu Patch Tuesday poprawki dla produktów obejmujących m.in. Windows, SharePoint, Exchange, Azure, .NET, Dynamics, Defender, GitHub Copilot oraz wybrane gry i serwery. W zależności od przyjętej metodologii źródła branżowe podały od 569 do 622 usuniętych podatności. Różnice wynikają z tego, czy zestawienia obejmują wyłącznie system Windows, czy pełny katalog produktów producenta.
Wśród zgłoszonych poprawek 59 podatności zaklasyfikowano jako krytyczne. Trzy błędy określono jako zero-day, a w przypadku dwóch informowano o ich wykorzystaniu przed publikacją aktualizacji. Wskazywano między innymi luki CVE-2026-56155 w Active Directory Federation Services, CVE-2026-56164 w SharePoint Server oraz CVE-2026-50661 dotyczącą BitLockera. Dla ostatniej z nich informowano o publicznym ujawnieniu, bez potwierdzonych danych o użyciu w atakach.
Ujawnienie LegacyHive
Po publikacji aktualizacji badacz działający pod pseudonimem Nightmare-Eclipse, wcześniej używający nazwy Chaotic Eclipse, opublikował informacje i kod demonstracyjny dotyczący podatności nazwanej LegacyHive. Problem ma dotyczyć usługi Windows User Profile Service, znanej jako ProfSvc.
Zgodnie z opisem opublikowany kod może umożliwiać zalogowanemu użytkownikowi zamontowanie rejestru należącego do innego konta, w tym pliku UsrClass.dat przypisanego do administratora, we własnej przestrzeni rejestru klas. Udostępniona wersja wymaga poświadczeń drugiego konta oraz nazwy kolejnego użytkownika. Badacz podał, że pełna wersja narzędzia miała działać bez tych dodatkowych danych i obsługiwać inne gałęzie rejestru, jednak informacja ta nie została przedstawiona jako niezależnie potwierdzona.
W chwili publikacji opisu LegacyHive nie miała przydzielonego numeru CVE ani udostępnionej oficjalnej poprawki. Microsoft przekazał, że analizuje zgłoszenie. Według cytowanych specjalistów opublikowany mechanizm nie zapewnia samodzielnie pełnego przejęcia komputera, ale może zostać wykorzystany przez osobę, która uzyskała już dostęp do systemu, jako element eskalacji uprawnień. Administratorzy mogą śledzić komunikaty producenta dotyczące identyfikatora CVE, dostępności aktualizacji i ewentualnych zaleceń ograniczających ryzyko.