12 травня 2026 року Microsoft випустила заплановані оновлення безпеки Patch Tuesday. Цього місяця було усунено 120 вразливостей у продуктах компанії. Нульових днів у цьому випуску не виявлено, проте 17 вразливостей отримали статус критичних.
Найбільша кількість вразливостей стосується підвищення привілеїв: 61 вразливість. Далі йдуть 31 помилка віддаленого виконання коду, 14 випадків розкриття інформації, 13 вразливостей спуфінгу, 8 відмов у обслуговуванні та 6 обходів функцій безпеки.
Найбільш важливими для системних адміністраторів є вразливості в Microsoft Office, Word і Excel. Більшість з них активуються при відкритті шкідливого файлу, а деякі — навіть через панель попереднього перегляду без повного відкриття документа. Word отримав п’ять виправлень для RCE-помилок, Office — три критичних патчі. Оновлення Office слід встановити якомога швидше всім, хто регулярно отримує вкладення електронною поштою.
Серед окремих вразливостей варто виділити три. CVE-2026-41096 — критична помилка в DNS-клієнті Windows: зловмисник через підконтрольний DNS-сервер може надіслати спеціально сформовану відповідь і виконати код на вразливій системі. CVE-2026-35421 — критична RCE у компоненті Windows GDI: для атаки достатньо змусити жертву відкрити шкідливий EMF-файл у Microsoft Paint. CVE-2026-40365 — критична RCE у SharePoint Server: автентифікований зловмисник може виконати код на сервері через мережу.
Окремо виділяється CVE-2026-41097 — обхід функції безпеки Secure Boot. Це не критична помилка за класифікацією, але має особливе значення: 26 червня 2026 року закінчується термін дії старих сертифікатів Secure Boot. Травневий Patch Tuesday — останнє зручне вікно для оновлення сертифікатів до настання дедлайну.
Окрім Microsoft, у травні оновлення випустили Adobe (After Effects, Premiere Pro, Illustrator), Apple (macOS, iOS, watchOS), Cisco, Fortinet, Google (Android), Mozilla (Firefox) та SAP. Ivanti закрила критичну RCE у Endpoint Manager Mobile, яка вже активно експлуатувалася як нульовий день. Palo Alto Networks попередила про критичну вразливість у PAN-OS, яка також експлуатувалася — патч ще не вийшов, доступні лише засоби пом’якшення.
Googlebook: витік розкриває подробиці повернення Google на ринок ноутбуків
СпецпроєктиТравневий суперрозпродаж Blackview на AliExpress: новітні смартфони з Android 15 та знижки до 40%Highload: як команда готується до пікових подій. Найкращі практики від SharksCode
Джерело: BleepingComputer
Дякую за детальний огляд. Особливо тривожить велика кількість критичних вразливостей в Office — оновлення треба робити негайно, щоб уникнути можливих атак через шкідливі документи.
Дякую за ваш відгук! Саме так, оновлення Office — це пріоритет, адже воно значно знижує ризики атак через уразливості в документах. Рекомендую не відкладати встановлення патчів, щоб захистити свої дані.