2026年6月创纪录的补丁星期二

Krebs on Security 2026/06/09 22:07 新闻

security patch-tuesday microsoft windows zero-day ai-bug-detection

摘要

微软2026年6月补丁星期二创下纪录，修复了近200个安全漏洞，其中包括三个已被公开利用的零日漏洞。人工智能工具越来越多地被用于发现漏洞，安全研究员如Nightmare Eclipse发布漏洞利用代码。

微软今天发布了软件更新，以修复其Windows操作系统及支持软件中的近200个安全漏洞，这是该公司月度补丁星期二周期中修复数量最多的一次。其中近三十个漏洞被微软标记为最严重的“严重”评级，并且至少有三个漏洞的利用代码现已公开。 这家软件巨头在上个月的<a href="https://www.microsoft.com/en-us/msrc/blog/2026/05/a-note-on-patch-tuesday" target="_blank" rel="noopener">一篇博客文章</a>中表示，其工程师和安全社区正在越来越多地使用人工智能工具来发现漏洞，这意味着本月繁重的补丁星期二可能会成为常态，Tenable的高级研究员Satnam Narang说道。 “一些调查显示，安全专业人员中人工智能的使用率已达90%，因此这样的补丁量成为常态并不令人意外，”Narang表示。“潘多拉的盒子已经被打开，随着更先进的人工智能模型的出现，我们预计这种常态将在各个领域继续上升，而不仅仅是在补丁星期二。” 六月份的零日漏洞包括<a href="https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-49160" target="_blank" rel="noopener">CVE-2026-49160</a>，这是一个影响多种网络服务器（包括微软Internet信息服务(IIS)）的拒绝服务漏洞。微软表示该漏洞是由OpenAI的Codex报告的。 本月修复的两个零日漏洞似乎源自Nightmare Eclipse最近的漏洞披露，这位安全研究员以发布各种Windows漏洞的利用代码而闻名。其中一个名为“GreenPlasma”的漏洞利用Windows协作翻译框架中的权限提升弱点，该框架今天通过<a href="https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-45586" target="_blank" rel="noopener">CVE-2026-45586</a>进行了修补。 Nightmare Eclipse上个月还发布了“YellowKey”，这是一个针对Windows BitLocker漏洞的利用代码，允许具有物理访问权限的攻击者查看加密数据。而<a href="https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-50507" target="_blank" rel="noopener">CVE-2026-50507</a>则是针对BitLocker中一个权限提升漏洞的补丁。 微软上个月在<a href="https://www.microsoft.com/en-us/msrc/blog/2026/05/a-shared-responsibility-protecting-customers-through-coordinated-vulnerability-disclosure" target="_blank" rel="noopener">一篇博客文章</a>中表示正在考虑对该安全研究员采取法律行动，随后在社交媒体上遭到强烈反对。该公司后来在Twitter/X上澄清，虽然无意对研究人员采取法律行动，但如果他们违法，会向当局举报。CVE-2026-49160和CVE-2026-50507的公告在致谢部分没有提及任何研究人员，仅表示“微软认可安全社区中那些通过协调漏洞披露帮助我们保护客户的人士所做的努力。” Nightmare Eclipse自称是<a href="https://infosec.exchange/@briankrebs/116661298779426573" target="_blank" rel="noopener">微软前员工</a>，但微软未对此说法作出回应。Rapid7指出，Nightmare Eclipse最近的一篇博客文章中包含了一张Albert Vesker的图片，这是《生化危机》游戏系列中的一个角色，曾在一家科技公司担任研究员，后来叛变。 Nightmare Eclipse承诺将在7月14日（即下个月补丁星期二当天）发布更多Windows零日漏洞利用代码，并称这将是一次“碎骨级”的发布。在微软今天发布补丁后不久，该研究员立即<a href="https://deadeclipse666.blogspot.com/2026/06/its-patch-tuesday.html" target="_blank" rel="noopener">发布了一个利用代码</a>，声称是Windows Defender中的一个零日漏洞。 虽然200个漏洞可能是补丁星期二的新纪录，但Rapid7的Adam Barnett表示，微软本月实际修复的安全漏洞数量远高于此。 “本月以来，微软已提供补丁修复了360个浏览器漏洞，这一数量比过去几年任何一个月都要高出十倍，”Barnett写道。“和往常一样，浏览器漏洞不计入上述补丁星期二的统计数字。实际上，浏览器漏洞数量的大幅且很可能持续的上升，已导致微软不再在安全更新指南中枚举Chromium的CVE。” 微软还修补了Visual Studio Code中的一个零日漏洞，该漏洞允许攻击者通过一次点击窃取GitHub令牌。在一位研究员<a href="https://blog.ammaraskar.com/github-token-stealing/" target="_blank" rel="noopener">发布了利用方法</a>后，微软被迫在6月3日推出了临时修复。该研究员表示，他们选择不与微软合作，是因为最近一次经历——微软在未致谢或认可的情况下悄悄修补了他们报告的一个漏洞。 上周，微软内部也经历了零日紧急情况，至少72个公司公共代码仓库感染了<a href="https://www.stepsecurity.io/blog/miasma-worm-hits-microsoft-again-azure-functions-action-and-72-other-repositories-disabled-after-supply-chain-attack-targeting-ai-coding-agents" target="_blank" rel="noopener">Shai-Hulud蠕虫的一个变种</a>。研究人员发现，所有受影响的包都与微软官方的Azure Durable Task SDK相关，该SDK在5月份也<a href="https://opensourcemalware.com/blog/miasma-reaches-azure" target="_blank" rel="noopener">被同一Shai-Hulud蠕虫攻击</a>。 其他主要软件制造商本月也发布了超大规模的更新包。Adobe已发布更新，修复了<a href="https://helpx.adobe.com/security/security-bulletin.html" target="_blank" rel="noopener">多个产品</a>中的大量严重漏洞，包括Adobe Experience Manager、Acrobat Reader和Cold Fusion。6月3日，Google在其最新的Chrome浏览器更新中修复了<a href="https://securityboulevard.com/2026/06/google-patches-429-chrome-vulnerabilities-in-major-browser-update/" target="_blank" rel="noopener">多达429个漏洞</a>（Chrome会自动下载更新，但安装通常需要完全重启浏览器）。 一如既往，请在应用操作系统更新前备份数据，如果在使用本月补丁时遇到任何问题，请在评论中留言。 进一步阅读： <a href="https://msrc.microsoft.com/update-guide/releaseNote/2026-Jun" target="_blank" rel="noopener">微软安全更新指南</a> <a href="https://www.action1.com/patch-tuesday/patch-tuesday-june-2026/?vyi" target="_blank" rel="noopener">Action1的补丁星期二详解</a> <a href="https://isc.sans.edu/diary/Microsoft%20June%202026%20Patch%20Tuesday/33064" target="_blank" rel="noopener">SANS互联网风暴中心关于补丁星期二的注释</a>

查看原文

查看缓存全文

缓存时间: 2026/06/10 00:23

# 2026年6月：创纪录的补丁星期二来源：https://krebsonsecurity.com/2026/06/a-record-breaking-patch-tuesday-for-june-2026/ **微软**今日发布了软件更新，修复了其**Windows**操作系统及支持软件中近200个安全漏洞，这是该公司月度补丁星期二周期中有史以来修复数量最多的一次。其中近36个漏洞获得了微软最严重的“严重”评级，至少有3个漏洞的利用代码现已公开可用。这家软件巨头在上个月的一篇博文（https://www.microsoft.com/en-us/msrc/blog/2026/05/a-note-on-patch-tuesday）中表示，其工程师和安全社区正越来越多地使用人工智能工具来发现漏洞，这意味着本月沉重的补丁星期二可能开始成为常态。**Tenable** 的高级研究员 **Satnam Narang** 表示：“一些调查显示，安全专业人员中AI使用率普遍达到90%，因此这种补丁数量成为常态并不令人意外。潘多拉的盒子已经打开，随着更先进的AI模型出现，我们预计这一常态将在各方面持续上升，而不仅仅是补丁星期二。” 6月的零日漏洞包括 **CVE-2026-49160**（https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-49160），这是一个影响一系列Web服务器（包括微软**Internet Information Services** (IIS)）的拒绝服务漏洞。微软表示，该漏洞由 OpenAI 的 Codex 报告。本月修复的两个零日漏洞似乎源于安全研究员 **Nightmare Eclipse** 近期披露的漏洞。该研究员使用此昵称，一直在发布针对各种 Windows 缺陷的利用代码。其中一个名为“GreenPlasma”的漏洞利用了 Windows 协作翻译框架中的提权漏洞，该框架恰好在今天的 CVE-2026-45586（https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-45586）中得到了修补。 Nightmare Eclipse 上个月还发布了“YellowKey”，这是一个针对 Windows BitLocker 漏洞的利用代码，允许物理访问的攻击者查看加密数据。而 CVE-2026-50507（https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-50507）是 BitLocker 中一个提权漏洞的补丁。微软上个月在其一篇博文（https://www.microsoft.com/en-us/msrc/blog/2026/05/a-shared-responsibility-protecting-customers-through-coordinated-vulnerability-disclosure）中表示，正考虑对该安全研究员采取法律行动，此举在社交媒体上引发了强烈反弹。公司后来在 Twitter/X 上澄清，虽然无意对研究员采取法律行动，但如果他们违反法律，会向有关部门举报。CVE-2026-49160 和 CVE-2026-50507 的安全公告致谢部分未提及任何研究员姓名，仅表示“微软感谢安全社区中通过协调漏洞披露帮助我们保护客户的人员所做的努力。” **Nightmare Eclipse** 自称是微软前员工（https://infosec.exchange/@briankrebs/116661298779426573），但微软未回应此说法。**Rapid7** 指出，Nightmare Eclipse 近期的一篇博文中包含一张阿尔伯特·威斯克（《生化危机》系列游戏角色，原为科技公司研究员后叛逃）的图片。 Nightmare Eclipse 承诺将在7月14日（即下个月补丁星期二当天）发布更多 Windows 零日漏洞利用代码，并称之为“骨碎式”发布。在微软今日发布补丁后不久，该研究员立即发布了一个针对他们声称的 Windows Defender 零日漏洞的利用代码（https://deadeclipse666.blogspot.com/2026/06/its-patch-tuesday.html）。虽然200个漏洞可能是补丁星期二的一项记录，但 Rapid7 的 **Adam Barnett** 表示，微软本月实际修复的安全漏洞数量远高于此。“本月到目前为止，微软已经提供了补丁来修复360个浏览器漏洞，这比过去几年任意一个月的典型数量高出一个数量级。”Barnett 写道，“像往常一样，浏览器漏洞不计入上述补丁星期二数量。实际上，浏览器漏洞数量的大幅且可能持续的上升，已导致微软不再在安全更新指南中列举 Chromium 的 CVE。” 微软还修补了 **Visual Studio Code** 中的一个零日漏洞，该漏洞允许攻击者通过一次点击窃取 GitHub 令牌。公司被迫在6月3日推送了一个临时修复，此前一名研究员发布了利用该漏洞的说明（https://blog.ammaraskar.com/github-token-stealing/）。该研究员表示，他们选择不与微软合作，是因为近期一次经历中，微软在未给予致谢的情况下悄悄修补了他们报告的漏洞。微软上周还应对了自身内部的零日紧急情况：公司至少72个公共代码仓库感染了一种名为 Shai-Hulud 蠕虫的变种（https://www.stepsecurity.io/blog/miasma-worm-hits-microsoft-again-azure-functions-action-and-72-other-repositories-disabled-after-supply-chain-attack-targeting-ai-coding-agents）。研究人员发现，所有受影响的软件包都与微软官方的 Azure Durable Task SDK 有关，该 SDK 在5月曾遭受同一 Shai-Hulud 蠕虫的攻击（https://opensourcemalware.com/blog/miasma-reaches-azure）。其他主要软件厂商本月也在发布大规模的更新包。**Adobe** 已发布更新，修复了其一系列产品（https://helpx.adobe.com/security/security-bulletin.html）中的大量严重漏洞，包括 **Adobe Experience Manager**、**Acrobat Reader** 和 **Cold Fusion**。6月3日，**Google** 在其最新的 **Chrome** 浏览器更新中修复了多达429个漏洞（https://securityboulevard.com/2026/06/google-patches-429-chrome-vulnerabilities-in-major-browser-update/）（Chrome 会自动下载更新，但安装通常需要完全重启浏览器）。一如既往，请在应用操作系统更新前考虑备份数据。如果在本月补丁中遇到任何问题，欢迎在评论区留言。延伸阅读： - 微软安全更新指南（https://msrc.microsoft.com/update-guide/releaseNote/2026-Jun） - Action1 的补丁星期二分析（https://www.action1.com/patch-tuesday/patch-tuesday-june-2026/?vyi） - SANS Internet Storm Center 关于补丁星期二的笔记（https://isc.sans.edu/diary/Microsoft%20June%202026%20Patch%20Tuesday/33064）

2026年6月创纪录的补丁星期二

相似文章

2026年5月补丁星期二版

2026年4月补丁星期二版本

微软修复了 137 个漏洞，但 Azure AI Foundry 的那个最引人注目

神秘微软漏洞泄露者持续发布零日漏洞

在与研究人员激烈争执后，微软修复了其披露的0-day漏洞

提交意见反馈