2026年4月补丁星期二：微软修复167个漏洞Patch Tuesday, April 2026 Edition

微软今日推送软件更新，修复了 Windows 操作系统及相关软件中多达167个安全漏洞，其中包括一个 SharePoint Server 零日漏洞，以及一个在 Windows Defender 中被公开披露的“BlueHammer”缺陷。此外，谷歌 Chrome 修复了2026年第四个零日漏洞，而 Adobe Reader 的紧急更新则修补了一个可被远程执行代码的活跃利用漏洞。

雷德蒙德方面警告称，攻击者已开始针对 CVE-2026-32201——该漏洞存在于 Microsoft SharePoint Server 中，允许攻击者通过网络伪造可信内容或接口。

Action1 公司总裁兼联合创始人迈克·沃尔特斯表示，CVE-2026-32201 可用于欺骗员工、合作伙伴或客户，通过在受信任的 SharePoint 环境中展示虚假信息。

“此 CVE 可支持钓鱼攻击、未经授权的数据篡改或社会工程活动，进而导致进一步的系统沦陷，”沃尔特斯说道。“活跃的利用行为显著提升了组织面临的风险。”

微软还修复了 BlueHammer（CVE-2026-33825），即 Windows Defender 中的一个权限提升漏洞。据 BleepingComputer 报道，发现该漏洞的研究员在通知微软后对其响应感到愈发沮丧，遂发布了相关利用代码。Tharros 高级首席漏洞分析师威尔·多尔曼确认，安装今日补丁后，公开的 BlueHammer 利用代码已失效。

Tenable 高级研究员工程师萨特南·纳朗表示，4月是微软历史上第二大 Patch Tuesday。他还指出，有迹象表明 Adobe 于4月11日紧急修补的零日漏洞 CVE-2026-34621 自2025年11月以来已被积极利用。

Rapid7 首席软件工程师亚当·巴内特称，微软今日的补丁总量“在该类别中创下新纪录”，因其包含了近60个浏览器相关漏洞。巴内特表示，人们可能会联想到一周前发布的 Anthropic 备受瞩目的 Project Glasswing 项目——尽管该项目尚未发布，但据称具备极强的软件漏洞挖掘能力——这或许解释了此次漏洞数量激增的现象。

但他指出，Microsoft Edge 基于 Chromium 引擎开发，而 Chromium 维护团队也承认了众多研究人员发现的漏洞，这些漏洞微软已于上周五重新发布。

“一个稳妥的结论是：这一数量增长源于 AI 能力的持续扩展，”巴内特说。“随着 AI 模型在能力和可用性方面的影响进一步扩大，我们预计漏洞报告量还将继续上升。”

最后，无论你使用何种浏览器上网，定期完全关闭并重启浏览器都至关重要。虽然这很容易被忽略（尤其是当你同时打开成百上千标签页时），但这是确保所有可用更新得以安装的唯一方式。例如，本月早些时候发布的 Google Chrome 更新就修复了21个安全漏洞，其中包括高严重性的零日漏洞 CVE-2026-5281。

如需查看每项补丁的详细分类说明，请访问 SANS Internet Storm Center 的 Patch Tuesday 汇总页面。若你在应用上述任何更新时遇到问题，请在下方评论区留言，很可能会有热心网友提供解决方案。