Новости · Безопасность файлов

Один видеофайл против вашего ПК: критическая брешь в Windows Media Foundation

В июльском наборе обновлений Microsoft закрыла уязвимость, о которой стоит знать всем, кто открывает медиафайлы. Речь о CVE-2026-50655 — ошибке в системном компоненте Windows Media Foundation, из-за которой обычный на вид ролик или аудиозапись может выполнить на компьютере чужой код. Разбираем, что произошло, какие форматы под угрозой и что делать.

17 июля 2026 Редакция LoadFile Чтение 5 мин
Иконки видео- и аудиофайлов под синим защитным щитом с красными замками — уязвимость Windows Media Foundation

Коротко: 14 июля 2026 года Microsoft устранила CVE-2026-50655 — переполнение буфера в куче в компоненте Windows Media Foundation (CVSS 7.8, «критическая»). При открытии специально сформированного медиафайла — MP4, WMV или M4A — на компьютере может выполниться произвольный код. Это одна из пяти критических RCE-брешей Media Foundation в июльском патче. Активных атак на момент выхода патча не зафиксировано. Что делать: установить июльские обновления Windows и не открывать медиафайлы из непроверенных источников.

Что произошло

14 июля 2026 года, в рамках ежемесячного «вторника патчей» (Patch Tuesday), Microsoft выпустила исправление для CVE-2026-50655 — уязвимости в Windows Media Foundation. Это встроенный в Windows программный компонент (мультимедийная платформа), который отвечает за декодирование и воспроизведение аудио и видео: им пользуются медиаплееры, браузеры, приложения для видеозвонков и даже панель предпросмотра в «Проводнике».

По классификации Microsoft уязвимость получила статус «критической» с оценкой CVSS 7.8. По данным аналитиков CrowdStrike, это переполнение буфера в куче (heap-based buffer overflow, CWE-122): неаутентифицированный злоумышленник может добиться выполнения произвольного кода локально. Исследователи Cisco Talos отнесли брешь к категории «с большей вероятностью будет проэксплуатирована» — то есть к тем, за которыми стоит следить в первую очередь.

Важная оговорка: на момент выпуска патча Microsoft не сообщала о случаях активной эксплуатации CVE-2026-50655 в реальных атаках, а публично доступного эксплойта (proof-of-concept) для неё не публиковалось. Но окно спокойствия узкое: как только технические детали расходятся, злоумышленники нередко быстро собирают рабочий эксплойт.

Как срабатывает атака через медиафайл

Механика у таких брешей общая и хорошо знакома по другим форматам: приложение неправильно обрабатывает специально подготовленный файл, и в момент разбора его содержимого управление перехватывает вредоносный код. Здесь роль «ключа» играет медиафайл, который разбирает Windows Media Foundation.

!
Опасен сам файл, а не «взлом» системы

Чтобы атака сработала, не нужны ни серверная брешь, ни права администратора — достаточно, чтобы пользователь открыл заражённый файл. По данным профильных изданий, полезная нагрузка может приходить в виде ролика .mp4, .wmv, аудио .m4a, а также контейнеров вроде .mkv или .avi. Поскольку Media Foundation задействуется и при построении эскизов, часть подобных сценариев теоретически способна срабатывать даже при предпросмотре файла, без явного двойного клика.

Уязвимость эксплуатируется локально: атакующему нужно убедить жертву открыть файл — прислать его во вложении, выложить под видом фильма или клипа, встроить в документ. Это повышает «порог входа» по сравнению с сетевыми атаками, но не отменяет угрозу — люди открывают присланное видео так же не задумываясь, как и офисный документ.

Не одна уязвимость: целый кластер в Media Foundation

CVE-2026-50655 — не единичный случай. В июльском обновлении Microsoft закрыла сразу пять критических RCE-уязвимостей в семействе Windows Media / Media Foundation. Помимо основной бреши, аналитики выделяют:

  • CVE-2026-50327 — ещё одно переполнение буфера в куче с оценкой CVSS 7.8, также помеченное как «с большей вероятностью эксплуатации».
  • CVE-2026-57090 — критическая RCE-уязвимость Media Foundation с более высокой оценкой CVSS 8.8, затрагивающая Windows 11 версий 24H2 и 25H2.
  • ещё несколько критических RCE в компонентах Windows Media (CVE-2026-56189, CVE-2026-57094, CVE-2026-58542).

Такое скопление ошибок в одном подсистемном компоненте — сигнал: разбор мультимедиа остаётся сложным и уязвимым местом. В целом июльский Patch Tuesday стал рекордным — по разным подсчётам Microsoft закрыла от 570 до 622 уязвимостей; подробнее мы разбирали это в материале про рекордный «вторник патчей» и RCE в Office.

Что это значит для работы с файлами и что делать

Главный практический вывод касается не только администраторов. Если вы открываете видео и аудио на компьютере с Windows, установка обновлений напрямую влияет на то, безопасно ли запускать очередной присланный ролик. Практические шаги:

  1. Установите июльские обновления Windows. Проверьте «Центр обновления Windows» — исправление Media Foundation ставится штатным патчем и закрывает вектор атаки.
  2. Не открывайте медиафайлы из непроверенных источников. «Неожиданное видео» от незнакомца или странная аудиозапись во вложении — повод сперва насторожиться, а не кликать.
  3. Скачивайте плееры и кодеки только с официальных сайтов. Пиратские сборки кодек-паков — классический канал доставки заражённых медиафайлов.
  4. Проверяйте подозрительные файлы антивирусом и онлайн-сканерами перед открытием — базовые правила собраны в разделе безопасность файлов.
  5. Если сомневаетесь в незнакомом расширении — сначала посмотрите, что это за формат и чем он открывается, в справочнике форматов файлов.

Этот случай — ещё одно подтверждение принципа, о котором мы писали в материале про опасные вложения — RAR, SVG и PDF: привычный на вид файл может оказаться точкой входа для атаки. Раньше в этой роли чаще выступали архивы, картинки и документы — теперь к списку добавляются и обычные медиафайлы. Своевременное обновление и здоровая настороженность к тому, что вы открываете, закрывают большинство подобных векторов ещё до двойного клика.

Источники

Читайте также