微软修复 138 个漏洞，涵盖 DNS 和 Netlogon 远程代码执行缺陷

周二，微软针对其产品组合中的 138 个安全漏洞发布了补丁，不过这些漏洞均未被列为已公开披露或正遭受主动攻击的漏洞。

在这 138 个漏洞中，30 个被评为严重级别，104 个为重要级别，3 个为中等级别，1 个为低级别。其中多达 61 个漏洞归类为权限提升漏洞，其次是 32 个远程代码执行漏洞、15 个信息泄露漏洞、14 个欺骗漏洞、8 个拒绝服务漏洞、6 个安全功能绕过漏洞以及 2 个篡改漏洞。

此次更新列表还包含本月由 AMD 修复的一个漏洞（CVE - 2025 - 54518，CVSS 评分：7.3）。该漏洞与基于 Zen 2 的产品中 CPU 操作缓存内共享资源的隔离不当有关，攻击者可能利用此漏洞破坏在不同权限级别执行的指令，进而导致权限提升。

除这些漏洞外，谷歌在 Chromium 中修复的 127 个安全漏洞也影响到微软 Edge 浏览器，因为 Edge 浏览器基于 Chromium 开发。

微软修复的最严重漏洞之一是 CVE - 2026 - 41096（CVSS 评分：9.8），这是一个影响 Windows DNS 的基于堆的缓冲区溢出漏洞，未经授权的攻击者可利用该漏洞通过网络执行代码。

微软表示：“攻击者可以通过向易受攻击的 Windows 系统发送特制的 DNS 响应来利用此漏洞，导致 DNS 客户端错误处理该响应并损坏内存。在某些配置下，这可能使攻击者在无需身份验证的情况下，在受影响的系统上远程运行代码。”

微软还修复了几个严重级别为 “严重” 和 “重要” 的漏洞：

• CVE - 2026 - 42826（CVSS 评分：10.0）：Azure DevOps 中敏感信息暴露给未授权方，未经授权的攻击者可通过网络泄露信息。（无需客户操作）

• CVE - 2026 - 33109（CVSS 评分：9.9）：Azure 托管的 Apache Cassandra 实例存在访问控制不当问题，授权攻击者可通过网络执行代码。（无需客户操作）

• CVE - 2026 - 42898（CVSS 评分：9.9）：Microsoft Dynamics 365（本地部署）存在代码注入漏洞，授权攻击者可通过网络执行代码。

• CVE - 2026 - 42823（CVSS 评分：9.9）：Azure 逻辑应用存在访问控制不当问题，授权攻击者可通过网络提升权限。

• CVE - 2026 - 41089（CVSS 评分：9.8）：Windows Netlogon 中存在基于栈的缓冲区溢出问题，未经授权的攻击者通过向充当域控制器的 Windows 服务器发送特制的网络请求，无需登录或事先访问即可通过网络执行代码。

• CVE - 2026 - 33823（CVSS 评分：9.6）：Microsoft Teams 存在授权不当问题，授权攻击者可通过网络泄露信息。（无需客户操作）

• CVE - 2026 - 35428（CVSS 评分：9.6）：Azure 云 Shell 存在命令注入漏洞，未经授权的攻击者可通过网络进行欺骗攻击。（无需客户操作）

• CVE - 2026 - 40379（CVSS 评分：9.3）：Azure Entra ID 中敏感信息暴露给未授权方，未经授权的攻击者可通过网络进行欺骗攻击。（无需客户操作）

• CVE - 2026 - 40402（CVSS 评分：9.3）：Windows Hyper - V 中存在释放后使用漏洞，未经授权的攻击者可获取 SYSTEM 权限并访问 Hyper - V 主机环境。

• CVE - 2026 - 41103（CVSS 评分：9.1）：Microsoft SSO 插件（用于 Jira 和 Confluence）中身份验证算法实现错误，未经授权的攻击者可作为有效用户未经授权访问 Jira 或 Confluence，并以被攻陷账户的相同权限执行操作。

• CVE - 2026 - 33117（CVSS 评分：9.1）：Azure SDK 中存在身份验证不当问题，未经授权的攻击者可通过网络绕过安全功能。

• CVE - 2026 - 42833（CVSS 评分：9.1）：Microsoft Dynamics 365（本地部署）中存在不必要权限执行问题，授权攻击者可通过网络执行代码，并获得与其他租户应用程序和内容进行交互的能力。

• CVE - 2026 - 33844（CVSS 评分：9.0）：Azure 托管的 Apache Cassandra 实例存在输入验证不当问题，授权攻击者可通过网络执行代码。（无需客户操作）

• CVE - 2026 - 40361（CVSS 评分：8.4）：Microsoft Office Word 中存在释放后使用漏洞，未经授权的攻击者无需用户交互即可在本地执行代码。

• CVE - 2026 - 40364（CVSS 评分：8.4）：Microsoft Office Word 中存在类型混淆漏洞，未经授权的攻击者无需用户交互即可在本地执行代码。

Rapid7 首席软件工程师亚当・巴尼特（Adam Barnett）在谈及 CVE - 2026 - 41103 时表示：“这个严重的权限提升漏洞使未经授权的攻击者能够通过出示伪造凭证冒充现有用户，从而绕过 Entra ID。”

Action1 漏洞研究总监杰克・比塞尔（Jack Bicer）将 CVE - 2026 - 42898 描述为一个严重缺陷，低权限的已认证攻击者可通过操纵 Dynamics CRM 内的进程会话数据，在网络上运行任意代码。

比塞尔称：“由于无需用户交互，且该漏洞有可能影响超出易受攻击组件原始安全范围的系统，因此给企业带来严重风险：仅有基本访问权限的攻击者可以将业务应用服务器转变为远程执行平台。”

“Dynamics 365 基础设施遭到破坏可能会暴露客户记录、运营工作流程、财务信息以及集成的业务系统。由于 CRM 环境通常与身份服务、数据库和企业应用程序相连，成功利用此漏洞可能导致更广泛的组织受损和运营中断。”

此外，建议各组织在下个月之前将 Windows 安全启动证书更新为 2023 版，2011 年发布的证书将于下月到期。微软在 2025 年 11 月首次宣布这一变更。

Nightwing 高级事件响应专家雷恩・贝克（Rain Baker）表示：“最关键的非 CVE 更新涉及强制推出更新后的安全启动证书。在 6 月 26 日截止日期前未收到这些更新的设备将面临‘灾难性的启动级安全故障’或安全状态降级。请确保在 2026 年 6 月 26 日截止日期前，您的所有设备都成功更新到新的信任锚点。”

2026 年至今超 500 个 CVE 漏洞修复

根据 Tenable 高级研究工程师萨特南・纳兰（Satnam Narang）的说法，进入 2026 年才五个月，微软就已经修复了超 500 个 CVE 漏洞。如此大量的修复反映了更广泛的行业趋势，即漏洞发现达到了新高度，其中很大一部分是通过人工智能（AI）驱动的方法发现的。

微软在周二发布的一份报告中表示，预计未来几个月，人工智能辅助的漏洞发现将增加 “补丁星期二” 发布的规模，并补充称，本月在 Windows 网络和身份验证堆栈中修复的 16 个漏洞是通过其新的多模型人工智能驱动的漏洞发现系统（代号为 MDASH，即多模型智能扫描工具集的缩写）识别出来的。

微软安全响应中心工程副总裁汤姆・加拉格尔（Tom Gallagher）表示：“与前几个月相比，本月发布的更新中，微软发现的问题占比更大。其中许多问题是通过我们工程和研究团队在人工智能方面的投入和调查发现的，包括使用微软新的多模型人工智能驱动的扫描工具集。”

微软还强调，人工智能带来的漏洞发现规模和速度的提升，可能会增加运营需求，需要采用一致、规范的风险管理方法，以确保问题能够快速缓解并及时修复。

加拉格尔说：“及时更新受支持的操作系统、产品和补丁，并重新审视您的补丁节奏的速度和一致性。根据暴露程度和影响进行优先级排序，而非仅仅依据漏洞数量。”

微软概述的其他建议包括减少不必要的互联网暴露、改善配置管理、移除旧版身份验证、启用多因素身份验证（MFA）、实施严格的访问控制、对环境进行分段以遏制事件影响，以及在检测和响应方面进行投入。

这家科技巨头表示：“整个行业在发现和修复漏洞方面的工作正变得越来越快速、广泛和严格。我们反过来鼓励大家深入思考，几年前适用于漏洞修复领域的实践，是否仍然适用于该领域未来的发展方向。”

“基本原则并未改变。但应用这些原则的速度在改变，能够随之调整的组织将最有能力应对未来的挑战。”