2026年5月补丁星期二版

Krebs on Security 新闻
patch-tuesday security vulnerabilities microsoft ai-security

摘要

微软及其他科技巨头发布了2026年5月的安全补丁,Anthropic的Project Glasswing人工智能辅助发现漏洞,导致修复数量接近历史纪录。

<p>人工智能平台可能和人类一样容易受到社会工程学攻击,但它们在发现人类编写的计算机代码中的安全漏洞方面表现得异常出色。这一现实在本月充分体现,一些广泛使用的软件制造商——包括<strong>Apple</strong>、<strong>Google</strong>、<strong>Microsoft</strong>、<strong>Mozilla</strong>和<strong>Oracle</strong>——修复了接近纪录数量的安全漏洞,并/或加快了补丁发布的节奏。</p> <p>如同每个月的第二个星期二一样,微软今天发布了软件更新,修复了其各种<strong>Windows</strong>操作系统及其他产品中的至少118个安全漏洞。值得注意的是,这是近两年来微软第一次没有发布任何针对已在被利用的紧急零日漏洞的修复。今天修复的漏洞也没有一个之前被公开过(这可能给攻击者提供了如何利用漏洞的先机)。</p> <p>其中16个漏洞被微软标注为最严重的“严重”级别,意味着恶意软件或黑客可以在几乎没有用户帮助的情况下利用这些漏洞远程控制易受攻击的Windows设备。<strong>Rapid7</strong>在本月识别一些更令人担忧的严重漏洞方面承担了大部分繁重工作,包括:<span id="more-73582"></span></p> <ul> <li><a href="https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-41089" target="_blank" rel="noopener">CVE-2026-41089</a>:Windows Netlogon中的严重栈缓冲区溢出漏洞,允许攻击者在域控制器上获得SYSTEM权限。无需任何特权或用户交互,攻击复杂度低。补丁适用于从2012年起的所有Windows Server版本。</li> <li><a href="https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-41096" target="_blank" rel="noopener">CVE-2026-41096</a>:Windows DNS客户端实现中的严重远程代码执行漏洞,尽管微软评估利用可能性较低,但仍值得关注。</li> <li><a href="https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-41103" target="_blank" rel="noopener">CVE-2026-41103</a>:一个严重的权限提升漏洞,允许未经授权的攻击者通过提交伪造凭据来冒充现有用户,从而绕过Entra ID。微软预计利用可能性较高。</li> </ul> <p>5月的补丁星期二与4月相比是一个受欢迎的喘息机会,4月微软修复了近纪录的<a href="https://krebsonsecurity.com/2026/04/patch-tuesday-april-2026-edition/" target="_blank" rel="noopener">167个安全漏洞</a>。微软是少数几家获得访问&#8220;<strong>Project Glasswing</strong>&#8221;权限的科技巨头之一,这是<strong>Anthropic</strong>开发的一项备受炒作的人工智能能力,似乎在发现代码中的安全漏洞方面非常有效。</p> <p>另一家Project Glasswing的早期参与者Apple,通常每次为iOS设备发布安全更新时修复平均20个漏洞,<strong>Ivanti</strong>产品管理副总裁<strong>Chris Goettl</strong>表示。5月11日,Apple发布了更新以修复至少52个漏洞,并将更改一直回溯到iPhone 6s和iOS 15。</p> <p>上个月,Mozilla发布了<strong>Firefox 150</strong>,修复了<a href="https://arstechnica.com/ai/2026/04/mozilla-anthropics-mythos-found-271-zero-day-vulnerabilities-in-firefox-150/" target="_blank" rel="noopener">多达271个漏洞</a>,据报道这些漏洞是在Glasswing评估期间发现的。</p> <p>&#8220;自Firefox 150.0.0发布以来,他们采用了更激进的每周安全更新节奏,包括在5月补丁星期二发布了Firefox 150.0.3,每次发布修复三到五个CVE,&#8221; Goettl说。</p> <p>软件巨头Oracle同样最近加快了补丁节奏,以应对与Glasswing的合作。在其最新的季度补丁更新中,Oracle修复了至少450个漏洞,包括<a href="https://www.securityweek.com/oracle-patches-450-vulnerabilities-with-april-2026-cpu/" target="_blank" rel="noopener">超过300个远程可利用、无需认证的漏洞修复</a>。但在4月底,Oracle宣布将关键安全问题的更新周期改为月度。</p> <p>5月8日,Google开始为其Chrome浏览器推出更新,<a href="https://www.forbes.com/sites/daveywinder/2026/05/08/critical-new-google-security-update-127-chrome-security-vulnerabilities-confirmed/" target="_blank" rel="noopener">修复了惊人的127个安全漏洞</a>(而前一个月仅为30个)。Chrome会自动下载可用的安全更新,但安装需要完全重启浏览器。</p> <p>如果应用微软或此处提到的任何其他供应商的更新时遇到任何奇怪问题,欢迎在下方评论中畅所欲言。同时,如果你最近没有备份数据或硬盘,在更新之前备份通常是一个明智的建议。有关今天发布的微软更新的更详细查看,请查看<strong>SANS Internet Storm Center</strong>的<a href="https://isc.sans.edu/forums/diary/Microsoft%20May%202026%20Patch%20Tuesday/32980/" target="_blank" rel="noopener">这份清单</a>。</p>
查看原文
查看缓存全文

缓存时间: 2026/05/16 03:28

# 2026年5月补丁星期二特别版 来源:https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ 人工智能平台在社交工程方面或许与人类一样脆弱,但它们在发现人类编写的计算机代码中的安全漏洞方面表现得异常出色。这一现实在本月尤为突出:多家广泛使用的软件厂商——包括**Apple**、**Google**、**Microsoft**、**Mozilla**和**Oracle**——修复了接近创纪录数量的安全漏洞,并且/或加快了补丁发布的节奏。 与每月第二个星期二的传统一样,Microsoft 今天发布了软件更新,修复了其各种**Windows**操作系统及其他产品中的至少118个安全漏洞。值得注意的是,这是近两年来微软首次在补丁星期二中未针对任何已遭利用的紧急零日漏洞提供修复。今天修复的漏洞也均未提前披露(这有可能让攻击者提前了解如何利用弱点)。 其中有16个漏洞被 Microsoft 标为最严重的“严重”级别,意味着恶意软件或攻击者可以在无需用户过多协助的情况下,滥用这些漏洞远程控制易受攻击的 Windows 设备。**Rapid7** 在本月识别出一些更值得关注的严重漏洞方面承担了大量工作,包括: - CVE-2026-41089 (https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-41089):Windows Netlogon 中一个基于栈的严重缓冲区溢出漏洞,可让攻击者在域控制器上获得 SYSTEM 权限。不需要任何权限或用户交互,攻击复杂度低。自2012年起的所有 Windows Server 版本均已提供补丁。 - CVE-2026-41096 (https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-41096):Windows DNS 客户端实现中的一个严重远程代码执行漏洞,尽管微软评估其利用可能性较低,但仍值得关注。 - CVE-2026-41103 (https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-41103):一个严重的权限提升漏洞,允许未经授权的攻击者通过提交伪造凭据来冒充现有用户,从而绕过 Entra ID。微软预计该漏洞更有可能被利用。 五月的补丁星期二与四月相比算是难得的喘息——四月时 Microsoft 修复了接近创纪录的167个安全漏洞 (https://krebsonsecurity.com/2026/04/patch-tuesday-april-2026-edition/)。微软是少数几家获得**Project Glasswing**访问权限的科技巨头之一,这一由**Anthropic**开发的备受瞩目的人工智能能力在发现代码中的安全漏洞方面表现相当出色。 **Ivanti**产品管理副总裁**Chris Goettl**表示,作为 Project Glasswing 的早期参与者,Apple 在每次为 iOS 设备发布安全更新时通常平均修复约20个漏洞。但在5月11日,Apple 发布的更新修复了至少52个漏洞,并将这些变更反向移植至 iPhone 6s 及 iOS 15。 上个月,Mozilla 发布了**Firefox 150**,解决了多达271个漏洞 (https://arstechnica.com/ai/2026/04/mozilla-anthropics-mythos-found-271-zero-day-vulnerabilities-in-firefox-150/),据报道这些漏洞是在 Glasswing 评估期间发现的。 “自 Firefox 150.0.0 发布以来,Mozilla 加快了安全更新的发布频率,改为每周更新,包括在五月补丁星期二当天发布 Firefox 150.0.3,每次更新修复了三到五个 CVE。”Goettl 说。 软件巨头 Oracle 近期也因与 Glasswing 的合作而加快了补丁发布节奏。在其最近一次季度补丁更新中,Oracle 修复了至少450个漏洞,其中包括超过300个可远程利用、无需认证的漏洞 (https://www.securityweek.com/oracle-patches-450-vulnerabilities-with-april-2026-cpu/)。但在4月底,Oracle 宣布将针对严重安全问题改为月度更新周期。 5月8日,Google 开始向 Chrome 浏览器推送更新,修复了惊人的127个安全漏洞 (https://www.forbes.com/sites/daveywinder/2026/05/08/critical-new-google-security-update-127-chrome-security-vulnerabilities-confirmed/)(上个月仅为30个)。Chrome 会自动下载可用的安全更新,但安装需要完全重启浏览器。 如果您在应用 Microsoft 或此处提及的其他厂商的更新时遇到任何异常情况,欢迎在下方评论区留言。与此同时,如果您最近没有备份数据或驱动器,通常建议在更新*之前*做好备份。如需更详细地了解今天发布的 Microsoft 更新,请查看 **SANS Internet Storm Center** 整理的这份清单 (https://isc.sans.edu/forums/diary/Microsoft%20May%202026%20Patch%20Tuesday/32980/)。

相似文章

2026年4月补丁星期二版本

Krebs on Security

微软2026年4月补丁星期二修复了创纪录的167个漏洞,包括一个正在被积极利用的SharePoint零日漏洞和一个公开披露的Windows Defender漏洞(BlueHammer),同时Google Chrome和Adobe Reader也修复了零日漏洞。

2026年5月22日公告Project Glasswing:初步更新

Anthropic Research

Anthropic的Project Glasswing项目使用Claude Mythos Preview,已在关键软件中发现超过一万个高危或严重漏洞,合作伙伴如Cloudflare报告漏洞发现率提升了十倍。