Microsoft виправляє критичну вразливість BitLocker у червневому оновленні
Microsoft випустила чергове оновлення безпеки в рамках Patch Tuesday за червень 2026 року, яке усуває серйозну проблему в системі шифрування BitLocker. Це оновлення виправляє три вразливості нульового дня, про які раніше цього місяця повідомив дослідник безпеки під псевдонімом “Chaotic Eclipse” (також відомий як Nightmare-Eclipse).
Серед виправлених вразливостей — YellowKey, GreenPlasma та MiniPlasma. Вразливість YellowKey дозволяла досліднику отримувати доступ до захищених BitLocker дисків у Windows 11 за допомогою звичайного USB-ключа. Опоненти стверджували, що Microsoft “навмисно” залишила лазівку в системі безпеки.
Microsoft оперативно випустила виправлення для цієї критичної помилки Windows 11, щоб відновити довіру BitLocker до середовища відновлення Windows (WinRE). Ця вразливість була усунена в рамках червневих оновлень Patch Tuesday, які загалом виправили понад 200 помилок безпеки. Остаточні події свідчать про тривалу суперечку між Microsoft та дослідником Nightmare-Eclipse щодо методів звітування про вразливості та винагороди для дослідників.
Технологічний гігант раніше заявляв, що публікація невідреагованих помилок разом з кодом для їх експлуатації наражає користувачів усієї екосистеми на ризик. Компанія навіть погрожувала юридичними діями проти дослідника безпеки, що викликало обурення в спільноті кібербезпеки. Однак, після негативної реакції, Microsoft відмовилася від своїх погроз.
Nightmare також стверджував, що Microsoft заблокувала його обліковий запис на GitHub і видалила його обліковий запис Microsoft як помсту за публікацію вразливостей нульового дня. “Мені особисто сказали [представники Microsoft], що вони зруйнують моє життя, і вони це зробили”, — додав дослідник, називаючи дії Microsoft мстивими.
Раніше компанія зазначала, що вразливості, опубліковані дослідником, не були надані їй заздалегідь, як це передбачено її політикою узгодженого розкриття вразливостей (CVD). Microsoft також спростувала заяви про деактивацію облікових записів дослідника:
“Microsoft не видаляє облікові записи дослідників у порталі MSRC, куди будь-хто може подати вразливість компанії. Microsoft не може підтвердити, про який саме обліковий запис стверджує ця особа, що був деактивований”.
Ця новина з’являється на тлі зростання винахідливості шахраїв та зловмисників, які використовують складні методи для отримання несанкціонованого доступу до конфіденційних даних неуважних користувачів. Минулого місяця повідомлялося, що шахраї використовують легітимну електронну адресу Microsoft для кодів двофакторної автентифікації (2FA) для розсилки спаму.
Приєднуйтесь до нас на Reddit за адресою r/WindowsCentral, щоб ділитися своїми думками та обговорювати останні новини, огляди та багато іншого.
Кевін Окемова
Кевін Окемова – досвідчений технічний журналіст з Найробі, Кенія, який має значний досвід висвітлення останніх тенденцій та розробок в індустрії на Windows Central. Захоплюючись інноваціями та маючи уважне ставлення до деталей, він писав для провідних видань, таких як OnMSFT, MakeUseOf та Windows Report, надаючи глибокий аналіз та актуальні новини про все, що стосується екосистеми Microsoft. Коли він не занурений у світ технологій, його можна знайти в подорожах світом або за прослуховуванням музики.
Що це означає для користувачів: Це оновлення безпеки усуває критичну вразливість, яка могла дозволити зловмисникам отримати доступ до зашифрованих даних на комп’ютерах з Windows 11. Регулярне встановлення оновлень від Microsoft, особливо тих, що стосуються безпеки, є ключовим для захисту вашої системи та особистої інформації від потенційних загроз.
Інформація підготовлена на основі матеріалів: www.windowscentral.com