返回

文章详情

微软修复创纪录的570个安全漏洞

Hacker News2026年7月14日 21:32

微软公司今天发布了软件更新,以修补其Windows操作系统和其他软件中至少570个安全漏洞,这几乎是该软件巨头在上个月创纪录的补丁星期二发布中修复的漏洞数量的三倍。微软将不断增加的补丁数量归因于人工智能的帮助下发现的漏洞。7月份的补丁星期二中几乎60个漏洞被评为“关键”严重性评级,这意味着不法分子或恶意软件可以利用它们轻松地远程控制Windows设备,几乎不需要用户的帮助。微软还解决了三个已经在野外被利用的零日漏洞。两个零日漏洞允许攻击者提高其在Windows系统上的用户权限,本月修复的约250个其他权限提升漏洞也如此;其中包括CVE-2026-56155——一个Active Directory联邦服务漏洞——和CVE-2026-56164,一个微软SharePoint漏洞。CVE-2026-50661是Windows BitLocker中的一个安全特性绕过漏洞,如果攻击者在物理上接触到设备,可能会允许他们访问加密数据。微软表示,这个漏洞已被公开详细说明,但尚未发现任何活跃的利用。在7月9日的一篇博文中,微软执行副总裁帕万·达夫鲁里写道,Windows用户将注意到“每个安全发布包含的安全更新量增加”,这是因为人工智能帮助发现漏洞。“漏洞发现的速度正在改变,人工智能的进步使得能够更快地发现更多问题,跨越更多代码,并通过新的机制加快发现和分析的过程,”达夫鲁里写道。行动1的漏洞研究总监杰克·比塞尔关注了CVE-2026-48561,这是微软Copilot中的一个远程代码执行漏洞(CVSS威胁评分为9.6),允许未经授权的攻击者通过网络执行代码。微软表示,攻击者可能通过托管一个恶意网站来利用这个漏洞,当用户访问该网站时会导致Android版Microsoft Edge自动向Copilot发送精心设计的提示。随着人工智能推动漏洞发现和修复状态的进步,攻击者也更容易迅速制定针对已知软件缺陷的有效利用方法。微软长期以来使用其“可利用性指数”来标记安全漏洞,这是雷德蒙德公司对攻击者能够可靠地利用给定漏洞的可能性的最佳估计。但Tenable的高级员工研究工程师萨特南·纳朗表示,微软的可利用性指数需要更好地与机器发现的速度同步。例如,微软最初将本月的SharePoint零日漏洞的可利用性评级为“较不可能”,尽管该漏洞在7月1日被添加到CISA的已知利用漏洞列表中。“Anthropic的红队自己对已知漏洞(n天)的发现揭示了这个系统变得多么脆弱,其Mythos Preview模型能够为13个被评为‘利用可能性较小’或‘利用可能性不大’的14个漏洞生成概念证明利用,”,纳朗说。“这意味着我们看待补丁星期二的方式已经改变,因为可利用性指数是以人为中心,而不是人工智能工具,随着这些工具的不断改进,防御也需要随之改进。”Ivanti的克里斯·戈特尔观察到,微软创纪录的补丁数量出现在其他一些主要软件制造商增加其补丁发布频率的情况下,包括Adobe今天宣布将其安全公告的发布频率提高到每月两次,在每月的第二个和第四个星期二发布(Adobe还引用人工智能加速其补丁周期)。思科、Mozilla和甲骨文也在更频繁地发布更新,而谷歌在2026年6月的补丁批次中总共提供了900多个安全修复,戈特尔指出。在应用操作系统更新之前,始终备份Windows系统和/或数据是个好主意。考虑到本月处理中补丁的数量,等待几天再应用这些修复可能更明智。安全补丁引入系统稳定性问题并不少见,这种可能性在今天发布的庞大补丁数量下可能会大大增加。进一步阅读:Action1的补丁星期二博客 Automox的总结

赞助内容

NordVPN Next-gen Antivirus

本站免费、广告极少。如果觉得有帮助,可以请我们喝杯咖啡 —— 任何金额都对持续运营有实际帮助。

请我喝杯咖啡