详细内容或原文请订阅后点击阅览
2026 年 5 月星期二补丁:没有零日漏洞,但有很多需要修复
五月的周二补丁可能不是许多人预期的重大版本,但仍然有许多重要的修复不容忽视。
来源:Malwarebytes Labs 博客本月的周二补丁修复了 137 个安全漏洞,其中 31 个被 Microsoft 标记为严重,且没有任何零日漏洞被广泛利用。
微软将零日定义为“尚无官方补丁或安全更新可用的软件缺陷”。本月,微软尚未发现生产环境中存在任何被利用的漏洞。
尽管如此,这个版本的风险还远非低。大部分关键错误允许跨 Windows 服务、Office、Azure、SharePoint 和图形组件进行远程代码执行 (RCE)。这意味着诱骗用户打开恶意文档或引诱他们连接到恶意服务的攻击者可以获得对系统的完全控制。
需要优先考虑的两个漏洞
从该列表中,我们选择了两个看起来可能会造成一些麻烦的内容。
首先是 CVE-2026-40361,其 CVSS 评分为 8.4 分(满分 10 分)。它被描述为 Microsoft Word 中的一个严重释放后使用漏洞,可能允许攻击者在受影响的系统上本地执行代码。
释放后使用是由于程序运行期间动态内存的错误使用而导致的一类漏洞。如果在释放内存位置后,程序没有清除指向该内存的指针,则攻击者可能能够利用该错误来操纵程序。
因此,如果攻击者诱使用户打开恶意 Word 文档,甚至预览该文件,他们就可以使用当前用户的权限执行任意代码。这通常足以安装恶意软件、窃取凭证或通过网络横向移动。
第二个是 CVE-2026-35421(CVSS 评分 7.8,满分 10)。这是 Windows 图形设备接口 (GDI) 中基于堆的严重缓冲区溢出。当软件应用程序内的内存区域到达其地址边界并写入相邻内存区域时,就会发生缓冲区溢出。微软注释: