微软(Microsoft)在2025年10月的补丁星期二活动中发布了安全更新,修复了创纪录的206个漏洞,打破了此前2024年6月创下的175个记录。此次更新覆盖了Windows和Office,同时也涉及Exchange Server和微软的云服务。其中有一个漏洞已被积极利用。微软将总共38个漏洞列为严重级别,其余均被标记为高风险。

Windows-11-system-update-message-on-a-laptop-screen-1.jpeg

下一个补丁星期二定于2026年7月14日Windows安全漏洞方面,本次有大量漏洞(共118个)分布在微软仍官方提供安全更新的各个Windows版本(包括Windows 1011Server)中。

Microsoft Defender成为攻击目标。在这次大规模更新包中,唯一一个被野外积极利用的安全漏洞是Microsoft Defender中的权限提升(EoP)漏洞CVE-2026-41091。攻击者可以利用它获取系统权限——微软感谢了多位报告此漏洞的个人,这表明这些攻击可能已经相当普遍。

微软已通过每日自动Defender更新替换了易受攻击的恶意软件保护引擎。修补后的引擎版本号至少为1.1.26040.8

要检查你的PC是否已获得此引擎版本,在Windows 11中,前往“设置”→“隐私和安全性”→“Windows安全中心”→【打开Windows安全中心】→“设置”→“关于”。在Windows 10中,从“设置”→“更新和安全”→【打开Windows安全中心】开始,然后遵循与Windows 11相同的步骤。

Secure Boot漏洞方面,2025年10月对Windows而言是一个重要月份,因为旧版Secure Boot证书即将到期,这涉及大量不平凡的更新工作。微软还修复了10个安全功能绕过(SFB)类别的漏洞,这些漏洞由独立研究人员发现并报告。任何能够利用其中某个漏洞的人,都可以在系统启动时、在适当的安全措施拦截之前加载恶意代码。

在Windows本次修复的118个漏洞中,有19个被归类为严重的远程代码执行(RCE)漏洞。其中,Windows内核中的漏洞CVE-2026-47288尤其棘手,攻击者无需身份验证即可远程执行注入的代码并获取系统权限。

此外,HTTP服务(http.sys)中的漏洞CVE-2026-47291也值得关注,攻击者无需身份验证即可注入并执行代码。不过,如果在Windows注册表中设置了MaxRequestBytes的默认值,则系统不易受攻击。微软在该漏洞的安全公告中描述了如何实现这一设置,并提供了PowerShell脚本。http.sys中的拒绝服务(DoS)漏洞CVE-2026-49160此前已被公开。

还有,在所有PC上运行的DHCP客户端服务中的漏洞CVE-2026-44815,使其成为任何攻击者的诱人目标。同样,攻击者无需身份验证即可注入并执行代码。

此外,漏洞CVE-2026-45585CVE-2026-50507针对的是BitLocker中的“YellowKey”和“GreenPlasma”安全缺陷,这些缺陷由臭名昭著的安全研究员Nightmare Eclipse披露。微软已在2025年5月修补了前者,并在2025年10月更新了相关公告。

Microsoft Office漏洞方面,微软修复了54个Office产品中的漏洞,数量是2025年5月的两倍。其中包括25个RCE漏洞,其中9个被归类为严重。在这些情况下,预览窗格本身就是一个攻击向量——用户无需在Office中实际打开恶意文件即可导致攻击成功。其余RCE漏洞则可在用户在有漏洞的Office产品中打开恶意文件时被利用。

Microsoft Hyper-V沙盒逃逸方面,利用严重RCE漏洞CVE-2026-45607CVE-2026-45641CVE-2026-47652,恶意代码可能从客户系统逃逸,并在主机系统上执行代码。

Microsoft Exchange Server中间人攻击方面,微软修复了Exchange Server中的8个漏洞。其中包括CVE-2026-45583,一个只能在中间人(MITM)场景下利用的RCE漏洞。

只有Exchange Online中的数据泄露漏洞CVE-2026-48579被归类为严重,微软已修补该漏洞。攻击者可以通过诱骗Exchange管理员打开恶意链接来利用CVE-2026-48579,从而在管理员网络会话中使用管理员权限执行代码。

Microsoft Edge零日漏洞方面,Edge 149.0.4022.62的最新安全更新日期为2025年6月9日,基于Chromium 149.0.7827.103。它还修复了74个Chromium漏洞,这些漏洞未计入上述漏洞总数,也未计入前一周的超过400个Chromium漏洞。此外,Chromium基础中的一个零日漏洞(CVE-2026-11645)也已得到解决。

提示:无论你是否保持Windows更新,都需要适当的防病毒保护,以确保PC的安全和隐私。

文章标签: #安全更新 #Windows #Office #漏洞修复 #Defender

负责编辑

  菠萝老师先生 

  让你的每一个瞬间都充满意义地生活,因为在生命的尽头,衡量的不是你活了多少年,而是你如何度过这些年。

也可以看看

CW电视网时代终结,《未来全明星》第八季完结成终章

2026年6月18日  |   4 分钟  |  1652 个字
分类: 影视

CW电视网最后一部原创剧集《未来全明星》将在第八季结束后完结,标志着该电视网原创剧集时代的终结。Nexstar收购后,CW转向非剧本剧、体育节目和收购剧集,以降低成本实现盈利。
阅读全文
assets/michael-evans-behling-as-jordan-baker-in-all-american.jpeg

全球顶级云服务商率先验证英伟达Vera Rubin NVL72,AI平台迎来新时代

2026年6月18日  |   3 分钟  |  1023 个字
分类: 人工智能

英伟达Vera Rubin NVL72系统已交付给甲骨文和CoreWeave进行验证,其AI性能惊人:仅用四分之一GPU即可达到专家混合训练速度,推理成本降至Blackwell的十分之一。全球最快AI平台即将全面量产。
阅读全文
assets/NVIDIA-Vera-Rubin-CoreWeave-scaled.jpeg

《寡妇湾》第一季大结局惊天反转,导演详解第二季新走向

2026年6月18日  |   4 分钟  |  1583 个字
分类: 影视

《寡妇湾》第一季结局揭露露丝有秘密女儿劳伦,而汤姆的儿子埃文才是沃伦家族真正末裔。导演村井浩解释这一重置如何为第二季创造新剧情线,汤姆从破咒转为保守秘密。
阅读全文
assets/exclusive-analysis-of-widow-bay-finale-twist-and-its-impact-on-season-two.jpeg