本周精选已更新
AI Daily · 博客每日精选 归档
返回 2026-06-11
🔒 安全

A Record-Breaking Patch Tuesday for June 2026A Record-Breaking Patch Tuesday for June 2026

krebsonsecurity.com·2026-06-09

A Record-Breaking Patch Tuesday for June 2026

阅读原文

微软今天发布了软件更新,修复了其 Windows 操作系统及受支持软件中的近 200 个安全漏洞,这是该公司每月“补丁星期二”周期中修复数量最多的一次。其中近三十个漏洞被微软评为最严重的“严重”级别,并且至少有三个漏洞的利用代码目前已被公开。

Tenable 的高级研究员 Satnam Narang 表示,这家软件巨头在上个月的一篇博客文章中提到,其工程师和整个安全社区正越来越多地使用人工智能工具来查找漏洞,这意味着本月数量庞大的“补丁星期二”可能会开始成为常态。

Narang 说:“一些调查显示,安全专业人员中 AI 的使用率普遍达到 90%,因此这种规模的补丁数量成为常态也就不足为奇了。潘多拉的魔盒已经被打开,随着更先进的 AI 模型不断涌现,我们预计这种常态水平将在各个领域持续攀升,而不仅限于‘补丁星期二’。”

6 月的零日漏洞包括 CVE-2026-49160,这是一个影响多种 Web 服务器的拒绝服务漏洞,其中包括 Microsoft Internet Information Services (IIS)。微软表示该漏洞是由 OpenAI 的 Codex 报告的。

本月修复的零日漏洞中,有两个似乎源自 Nightmare Eclipse 近期的漏洞披露。Nightmare Eclipse 是一名安全研究人员选用的化名,此人一直在不断披露各种 Windows 漏洞的利用程序。其中一个名为“GreenPlasma”的漏洞利用了 Windows 协作翻译框架中的权限提升弱点,该框架也就是今天通过 CVE-2026-45586 修补的同一个框架。

Nightmare Eclipse 上个月还发布了“YellowKey”,这是一个针对 Windows BitLocker 漏洞的利用程序,允许具有物理访问权限的攻击者查看加密数据,而 CVE-2026-50507 则是针对 BitLocker 中一个权限提升漏洞的补丁。

微软上个月在博客文章中表示正在考虑对这名安全研究人员采取法律行动,随后在社交媒体上遭到了强烈抵制。该公司后来在 Twitter/X 上澄清说,虽然无意对研究人员提起诉讼,但如果他们违法,公司会将其举报给当局。CVE-2026-49160 和 CVE-2026-50507 的安全公告在致谢部分没有提及任何研究人员,仅表示“微软感谢安全社区中那些通过协调漏洞披露帮助我们保护客户的人员所付出的努力。”

Nightmare Eclipse 声称自己是微软的前员工,不过微软尚未对有关这一说法的提问作出回应。Rapid7 指出,Nightmare Eclipse 最近的一篇博客文章中包含了一张阿尔伯特·威斯克的图片,这是《生化危机》系列电子游戏中的一个角色,该角色在叛变之前曾是一家科技公司的研究员。

Nightmare Eclipse 承诺将发布更多针对 Windows 的零日漏洞利用程序,并计划在 7 月 14 日(与下个月的“补丁星期二”同一天)进行一次他们所谓的“碎骨级”发布。在今天微软发布补丁之后,该研究人员立即公布了一个利用程序,声称其针对的是 Windows Defender 中的一个零日漏洞。

Rapid7 的 Adam Barnett 表示,虽然 200 个漏洞可能创下了“补丁星期二”的记录,但微软本月实际修复的安全漏洞数量要远高于此。

Barnett 写道:“本月至今,微软已提供补丁以修复 360 个浏览器漏洞,这比过去几年中任何单月的常规数量高出了一个数量级。像往常一样,浏览器[漏洞]并不包含在上述的 Patch Tuesday 统计数据中。事实上,浏览器漏洞数量出现了大幅且可能持续的增长,导致微软不再于 Security Update Guide 中逐一列出 Chromium 的 CVE。”

微软还修补了 Visual Studio Code 中的一个零日漏洞,该漏洞允许攻击者通过单次点击窃取 GitHub 令牌。此前,一名研究人员发布了展示如何利用该漏洞的说明,迫使微软于 6 月 3 日紧急推出了针对该漏洞的临时修复方案。该研究人员表示,他们选择不与微软合作,是因为近期的一次经历:微软悄悄修补了他们报告的漏洞,却没有给予任何致谢或认可。

上周,微软应对了其内部的零日漏洞紧急事件,此前该公司至少有 72 个公共代码仓库感染了 Shai-Hulud 蠕虫病毒的一个变种。研究人员发现,所有受影响的软件包都与微软官方的 Azure Durable Task SDK 有关,该 SDK 在 5 月份也曾遭到同一种 Shai-Hulud 蠕虫的攻击。

其他主要软件制造商本月也发布了超大规模的更新包。Adobe 已发布更新,修复了其一系列产品中的大量严重漏洞,这些产品包括 Adobe Experience Manager、Acrobat Reader 和 Cold Fusion。6 月 3 日,Google 在其最新的 Chrome 浏览器更新中解决了多达 429 个漏洞(Chrome 会自动下载更新,但安装通常需要完全重启浏览器)。

与往常一样,请在应用操作系统更新前考虑备份您的数据;如果在使用本月的补丁时遇到任何问题,请在评论区留言。

延伸阅读:

Microsoft 安全更新指南

Action1 的 Patch Tuesday 详细解析

SANS Internet Storm Center 关于 Patch Tuesday 的简报

需要完整排版与评论请前往来源站点阅读。