120个漏洞,17个关键级,没有一个是零日。这就是微软2026年5月补丁日的全部家当。
这个数字本身不算惊人。真正让安全团队坐不住的,是Office套件里那一批"预览窗格"漏洞——用户甚至不用双击打开文件,只要邮件列表里瞄一眼,攻击代码就已经跑起来了。
具体来看,120个漏洞按严重程度分层:17个关键级(Critical),103个重要级(Important)。关键级里14个是远程代码执行(RCE),2个权限提升,1个信息泄露。剩下的按类别拆:61个权限提升、31个远程代码执行、14个信息泄露、13个欺骗、8个拒绝服务、6个安全功能绕过。
Office家族是这次的重灾区。Word、Excel、PowerPoint全线中招,攻击向量高度一致:构造一个恶意文件,想办法让目标看到预览。微软在公告里用了"strongly advised"这种措辞,翻译过来就是"别等了,现在就更新"。
三个漏洞值得单独拎出来。
CVE-2026-35421,Windows GDI图形接口的RCE。攻击载体是EMF增强图元文件,触发工具是画图(Paint)。听起来很复古,但有效——画图是每台Windows的标配,EMF是Windows原生格式,用户警惕性几乎为零。
CVE-2026-40365,SharePoint Server的RCE。需要认证,但认证后的攻击者可以直接在网络层投递代码。企业内网的SharePoint通常承载着大量敏感文档,这个组合很致命。
CVE-2026-41096,Windows DNS客户端的RCE。攻击者控制DNS服务器,发送特制响应,让客户端内存损坏。难点在于"控制DNS服务器",但一旦达成,受害机器没有任何交互就会中招。公共Wi-Fi、企业内网劫持、供应链污染,都是可行的投放路径。
这次补丁日有个值得注意的背景:零日漏洞为零。这不是常态。过去两年,微软补丁日平均每月要处理1-2个在野利用的零日。5月的空白,可能是攻击者暂时收敛,也可能是漏洞研究周期的自然波动——但安全团队不会因此放松,反而会更仔细地审视那17个关键级漏洞的利用潜力。
统计口径上有个细节。BleepingComputer的漏洞计数只包含微软当天发布的补丁,所以实际修复量更大:月初已经修过Mariner、Azure、Copilot、Teams、Partner Center的漏洞;Google本月修复的131个Edge/Chromium漏洞也不计入这120个。如果全算上,5月微软生态的漏洞修复量接近300。
其他厂商的5月更新同样密集。Adobe覆盖了After Effects、Premiere Pro、Media Encoder、Commerce、Illustrator;AMD修复了Zen 2处理器操作缓存的权限提升漏洞;苹果全系统更新(macOS、iOS、watchOS、iPadOS、visionOS、tvOS);Cisco的产品线里还埋着一个拒绝服务漏洞。
补丁日的本质是债务管理。120个漏洞是已经发现的、已经被利用或可能被利用的攻击面。修复它们需要IT团队评估影响、测试兼容性、分批部署——而攻击者只需要找到一个没打补丁的终端。这种不对称性,决定了补丁日永远不会是"好消息",只能是"没那么坏的消息"。
5月的"没那么坏",体现在零日漏洞的缺席,也体现在Office漏洞的提前预警。但下一个补丁日会不会同样幸运,没人知道。
热门跟贴