Коротко: 14 июля 2026 года Microsoft устранила CVE-2026-50655 — переполнение буфера в куче в компоненте Windows Media Foundation (CVSS 7.8, «критическая»). При открытии специально сформированного медиафайла — MP4, WMV или M4A — на компьютере может выполниться произвольный код. Это одна из пяти критических RCE-брешей Media Foundation в июльском патче. Активных атак на момент выхода патча не зафиксировано. Что делать: установить июльские обновления Windows и не открывать медиафайлы из непроверенных источников.
Что произошло
14 июля 2026 года, в рамках ежемесячного «вторника патчей» (Patch Tuesday), Microsoft выпустила исправление для CVE-2026-50655 — уязвимости в Windows Media Foundation. Это встроенный в Windows программный компонент (мультимедийная платформа), который отвечает за декодирование и воспроизведение аудио и видео: им пользуются медиаплееры, браузеры, приложения для видеозвонков и даже панель предпросмотра в «Проводнике».
По классификации Microsoft уязвимость получила статус «критической» с оценкой CVSS 7.8. По данным аналитиков CrowdStrike, это переполнение буфера в куче (heap-based buffer overflow, CWE-122): неаутентифицированный злоумышленник может добиться выполнения произвольного кода локально. Исследователи Cisco Talos отнесли брешь к категории «с большей вероятностью будет проэксплуатирована» — то есть к тем, за которыми стоит следить в первую очередь.
Важная оговорка: на момент выпуска патча Microsoft не сообщала о случаях активной эксплуатации CVE-2026-50655 в реальных атаках, а публично доступного эксплойта (proof-of-concept) для неё не публиковалось. Но окно спокойствия узкое: как только технические детали расходятся, злоумышленники нередко быстро собирают рабочий эксплойт.
Как срабатывает атака через медиафайл
Механика у таких брешей общая и хорошо знакома по другим форматам: приложение неправильно обрабатывает специально подготовленный файл, и в момент разбора его содержимого управление перехватывает вредоносный код. Здесь роль «ключа» играет медиафайл, который разбирает Windows Media Foundation.
!
Опасен сам файл, а не «взлом» системыЧтобы атака сработала, не нужны ни серверная брешь, ни права администратора — достаточно, чтобы пользователь открыл заражённый файл. По данным профильных изданий, полезная нагрузка может приходить в виде ролика .mp4, .wmv, аудио .m4a, а также контейнеров вроде .mkv или .avi. Поскольку Media Foundation задействуется и при построении эскизов, часть подобных сценариев теоретически способна срабатывать даже при предпросмотре файла, без явного двойного клика.
Уязвимость эксплуатируется локально: атакующему нужно убедить жертву открыть файл — прислать его во вложении, выложить под видом фильма или клипа, встроить в документ. Это повышает «порог входа» по сравнению с сетевыми атаками, но не отменяет угрозу — люди открывают присланное видео так же не задумываясь, как и офисный документ.
Не одна уязвимость: целый кластер в Media Foundation
CVE-2026-50655 — не единичный случай. В июльском обновлении Microsoft закрыла сразу пять критических RCE-уязвимостей в семействе Windows Media / Media Foundation. Помимо основной бреши, аналитики выделяют:
- CVE-2026-50327 — ещё одно переполнение буфера в куче с оценкой CVSS 7.8, также помеченное как «с большей вероятностью эксплуатации».
- CVE-2026-57090 — критическая RCE-уязвимость Media Foundation с более высокой оценкой CVSS 8.8, затрагивающая Windows 11 версий 24H2 и 25H2.
- ещё несколько критических RCE в компонентах Windows Media (CVE-2026-56189, CVE-2026-57094, CVE-2026-58542).
Такое скопление ошибок в одном подсистемном компоненте — сигнал: разбор мультимедиа остаётся сложным и уязвимым местом. В целом июльский Patch Tuesday стал рекордным — по разным подсчётам Microsoft закрыла от 570 до 622 уязвимостей; подробнее мы разбирали это в материале про рекордный «вторник патчей» и RCE в Office.
Что это значит для работы с файлами и что делать
Главный практический вывод касается не только администраторов. Если вы открываете видео и аудио на компьютере с Windows, установка обновлений напрямую влияет на то, безопасно ли запускать очередной присланный ролик. Практические шаги:
- Установите июльские обновления Windows. Проверьте «Центр обновления Windows» — исправление Media Foundation ставится штатным патчем и закрывает вектор атаки.
- Не открывайте медиафайлы из непроверенных источников. «Неожиданное видео» от незнакомца или странная аудиозапись во вложении — повод сперва насторожиться, а не кликать.
- Скачивайте плееры и кодеки только с официальных сайтов. Пиратские сборки кодек-паков — классический канал доставки заражённых медиафайлов.
- Проверяйте подозрительные файлы антивирусом и онлайн-сканерами перед открытием — базовые правила собраны в разделе безопасность файлов.
- Если сомневаетесь в незнакомом расширении — сначала посмотрите, что это за формат и чем он открывается, в справочнике форматов файлов.
Этот случай — ещё одно подтверждение принципа, о котором мы писали в материале про опасные вложения — RAR, SVG и PDF: привычный на вид файл может оказаться точкой входа для атаки. Раньше в этой роли чаще выступали архивы, картинки и документы — теперь к списку добавляются и обычные медиафайлы. Своевременное обновление и здоровая настороженность к тому, что вы открываете, закрывают большинство подобных векторов ещё до двойного клика.
Источники