微软发布5月补丁星期二更新,修复了Windows和Office的120个安全漏洞,其中30个被归类为严重漏洞,包括危险的远程代码执行漏洞。Office修复了27个漏洞,数量几乎是4月的两倍,其中有4个严重级别的Word漏洞可通过预览窗格在无需打开文件的情况下被利用。Windows的DNS客户端和Netlogon服务中的严重漏洞需立即修补,不过微软表示目前这些漏洞均未被在野利用。
此次更新的漏洞修复数量异常之多,这可能与黑客大赛Pwn2Own将于5月14日在柏林开幕有关,促使微软尽可能多地修复漏洞以避免负面关注。下一次补丁星期二定于2026年6月9日。
修复的漏洞中有大量(本次为66个)分布在各个Windows版本(Windows 10、11、Server)中。对Windows 10的支持已于2025年10月结束,但加入扩展安全更新(ESU)计划的用户仍能继续接收更新。本月修复的Windows漏洞中,有5个被归类为严重的远程代码执行漏洞。DNS客户端中的CVE-2026-41096尤其成问题,几乎每台Windows机器上都会运行该服务。攻击者只需发送一个恶意的DNS查询响应——例如控制DNS服务器——即可在任何PC上执行任意代码。Windows Netlogon中的CVE-2026-41089漏洞同样严重,攻击者无需登录即可通过发送特制的网络请求在域控制器上执行代码。
此外,微软还修复了Office系列产品中的27个漏洞,数量几乎是4月修复数的两倍。这些漏洞包括15个远程代码执行漏洞,其中8个(仅Word就有4个)被归类为严重。在这些案例中,预览窗格本身即构成攻击途径,用户甚至无需完全打开恶意文件即可触发成功攻击。
微软还将其团队活动门户中的一个数据泄露漏洞CVE-2026-33823归类为严重,该漏洞已由厂商修补。微软365 Copilot中的两个数据泄露漏洞(CVE-2026-26129和CVE-2026-26164)也被视为严重。Edge浏览器版本148.0.3967.54的最新安全更新日期为5月7日,基于Chromium 148.0.7778.97。该更新修复了127个基于Chromium的安全漏洞(未计入补丁星期二修复总数),此外还修复了3个Edge特有漏洞以及2个Android版Edge漏洞。
