Podatność typu heap-based buffer overflow w komponencie DNS systemu Microsoft Windows pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu przez sieć. Wysoki wynik CVSS 9.8 oraz brak wymagań dotyczących uwierzytelnienia czy interakcji użytkownika czynią tę podatność wyjątkowo niebezpieczną.
▸ Pokaż oryginał (EN)
Heap-based buffer overflow in Microsoft Windows DNS allows an unauthorized attacker to execute code over a network.
Luka wynika z nieprawidłowej obsługi pamięci sterty (heap) w implementacji DNS systemu Windows — klasyfikowana jako CWE-122 (heap-based buffer overflow). Atakujący może wysłać specjalnie spreparowane dane sieciowe do usługi DNS, powodując przepełnienie bufora w obszarze sterty. Skutkiem może być nadpisanie krytycznych struktur pamięci, co umożliwia przejęcie kontroli nad przepływem wykonania procesu i uruchomienie dowolnego kodu.
Nieuwierzytelniony atakujący zdalny może wykonać dowolny kod w kontekście podatnej usługi DNS, co w praktyce może prowadzić do pełnego przejęcia kontroli nad systemem, utraty poufności danych oraz zakłócenia dostępności usług.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41096. Zaleca się niezwłoczne wdrożenie dostępnych aktualizacji zabezpieczeń Microsoft oraz — do czasu instalacji patcha — rozważenie ograniczenia dostępu sieciowego do usługi DNS wyłącznie do zaufanych źródeł za pomocą firewall.
Komponenty Microsoft Windows DNS — wersje wskazane w referencjach producenta (Microsoft Security Response Center).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMicrosoft Windows 11 23h2
OSMicrosoft< 10.0.22631.7079Microsoft Windows 11 24h2
OSMicrosoft< 10.0.26100.8390Microsoft Windows 11 25h2
OSMicrosoft< 10.0.26200.8390Microsoft Windows 11 26h1
OSMicrosoft< 10.0.28000.2113Microsoft Windows Server 2022 23h2
OSMicrosoft< 10.0.25398.2330Microsoft Windows Server 2025
OSMicrosoft< 10.0.26100.32772
Powiązane podatności
RCE w Windows Server Update Service (WSUS) — deserializacja danych
Heap buffer overflow w Windows TCP/IP umożliwia privilege escalation przez sieć
Podatność typu tampering w Windows DHCP Server umożliwia nieautoryzowaną modyfikację danych
Stack-based buffer overflow w Windows DHCP Client — zdalne wykonanie kodu
Use-after-free w Windows Kernel umożliwiające zdalne wykonanie kodu