Microsoft於2026年5月12日發布修補其產品138個安全漏洞,這138漏洞均未被公開披露且正在遭受攻擊。138個漏洞中,30個被評為嚴重,104個被評為重要,3個被評為中等,1個被評為低。其中,61個漏洞被歸類為權限提升漏洞, 32個遠端程式碼執行漏洞、15個資訊外洩漏洞、14個欺騙漏洞、8個拒絕服務漏洞、6個安全功能繞過漏洞和2個篡改漏洞。
此次更新清單中還包括AMD2026年5月修復的漏洞(CVE-2025-54518,CVSS評分:7.3)。此漏洞與Zen 2架構產品中CPU操作快取內共享資源的隔離不當有關,駭客可能利用此漏洞篡改以不同權限等級執行的指令,從而導致權限提升。除Google先前已修復的 Chromium核心(Microsoft Edge 瀏覽器基礎)中的127個安全漏洞外,此次Microsoft還發布新的修補程式。Redmond修復最嚴重漏洞之一是CVE-2026-41096(CVSS評分:9.8),這是一個堆疊緩衝區溢位漏洞,會影響Windows DNS,可能允許未經授權的駭客透過網路執行程式碼。
Microsoft:駭客可透過向易受攻擊的Windows系統發送特製的 DNS回應來利用此漏洞,導致DNS客戶端錯誤地處理回應並損壞記憶體。在某些配置下,這可能允許駭客在未經身份驗證情況下遠程在受影響的系統上運行程式碼。
Microsoft修復下列幾個嚴重和重要等級的漏洞如:
Rapid7 Adam Barnett在談到CVE-2026-41103:這一嚴重的權限提升漏洞允許未經授權的駭客通過偽造憑證冒充現有用戶,從而繞過Entra ID。Action1 Jack Bicer將 CVE-2026-42898描述為一個嚴重漏洞,它允許低權限的已認證駭客透過操縱Dynamics CRM中的行程會話資料,在網路上運行任意程式碼。Bicer:由於無需用戶交互,且該漏洞可能影響超出易受攻擊組件原始安全範圍的系統,因此對企業構成嚴重風險:僅擁有基本存取權限的駭客即可將業務應用程式伺服器變成遠端執行平台。
Dynamics 365基礎架構一旦遭到破壞,客戶記錄、營運工作流程、財務資訊和整合業務系統都可能暴露。由於CRM環境通常會與身分服務、資料庫和企業應用程式連接,因此一旦攻擊成功,可能會導致更廣泛的組織安全受到威脅,並造成營運中斷。此外,建議各組織在2026年6月前將Windows安全啟動憑證更新至2023版本,因為 2011年頒發的憑證將於2026年6月到期。微軟業於2025年11月宣布此項變更。Nightwing Rain Baker:最重要的非CVE更新涉及強制部署更新後的安全啟動證書。未能在 2026年6 月26日截止日期前完成這些更新的設備將面臨災難性的啟動級安全故障或安全狀態降級。確保所有設備在2026年6月26日截止日期前成功輪換到新的信任錨點。
截至目前2026年已修復超過500個CVE漏洞
Tenable Satnam Narang :2026年僅前5個月,Microsoft已修復超過500個CVE漏洞。漏洞發現數量達新高,其中很大一部分是透過AI的方法發現。Microsoft 2026年5月12日(星期二發布的一份報告中:預計未來幾個月,AI輔助的漏洞發現將擴大「補丁星期二」的發布規模。還指出,2026年5月修復的Windows網路和身份驗證堆疊中的16個漏洞是透過其新的多模型AI驅動漏洞發現系統(代號MDASH,即多模型代理掃描框架的縮寫)。
Microsoft Tom Gallagher:與前幾個月相比,2026年5月發布的修復問題中,由Microsoft發現的問題比例更高。其中許多漏洞是透過工程和研究團隊在AI領域的投資和調查發現,包括使用Microsoft全新的多模型AI驅動掃描工具。AI帶來的漏洞發現規模和速度的提升可能會增加營運需求,因此需要採取一致且嚴謹的風險管理方法,以確保問題能夠快速緩解並及時修復。
本文參考自:https://thehackernews.com/2026/05/china-linked-uat-8302-targets.html