Microsoft випустила травневий Patch Tuesday 2026 з 120 вразливостями

13.05.2026 06:24 · 2 хв читання

**Microsoft випустила травневий Patch Tuesday 2026 з 120 патчами, з яких 17 визнані критичними.** Серед небезпечних вразливостей — RCE у Microsoft Office, Windows GDI та SharePoint, а також обхід Secure Boot. Оновлення рекомендовано встановити терміново через загрозу експлуатації.

Microsoft випустила травневий Patch Tuesday 2026: 120 вразливостей, з них 17 критичних

12 травня 2026 року Microsoft випустила чергові оновлення безпеки в межах програми Patch Tuesday. Цього місяця компанія закрила 120 вразливостей у своїх продуктах. У випуску немає жодної вразливості типу "нульовий день", проте 17 з них отримали статус критичних.

Розподіл вразливостей за типами

За категоріями вразливості розподілилися наступним чином:

Підвищення привілеїв – 61 вразливість;
Віддалене виконання коду (RCE) – 31 вразливість;
Розкриття інформації – 14 вразливостей;
Спуфінг – 13 вразливостей;
Відмова в обслуговуванні (DoS) – 8 вразливостей;
Обхід функцій безпеки – 6 вразливостей.

Найкритичніші оновлення

Особливу увагу системним адміністраторам слід звернути на вразливості в Microsoft Office, Word та Excel. Більшість із них активуються при відкритті шкідливого файлу, а деякі – навіть через панель попереднього перегляду без повного відкриття документа.

Word отримав п’ять виправлень для помилок віддаленого виконання коду;
Office – три критичних патчі.

Оновлення для Office рекомендується встановити якнайшвидше, особливо користувачам, які регулярно працюють з вкладеннями електронної пошти.

Найнебезпечніші вразливості травня

Серед окремих вразливостей виділяються три критичні:

CVE-2026-41096 – помилка в DNS-клієнті Windows. Зловмисник може через підконтрольний DNS-сервер надіслати спеціально сформовану відповідь і виконати довільний код на вразливій системі;
CVE-2026-35421 – критична RCE-уразливість у компоненті Windows GDI. Для атаки достатньо змусити жертву відкрити шкідливий EMF-файл у Microsoft Paint;
CVE-2026-40365 – критична RCE у SharePoint Server. Автентифікований зловмисник може виконати код на сервері через мережу.

Проблема з Secure Boot

Окремо варто згадати CVE-2026-41097 – обхід функції безпеки Secure Boot. Хоча ця вразливість не класифікується як критична, вона має особливе значення. 26 червня 2026 року минає термін дії старих сертифікатів Secure Boot, тому травневий Patch Tuesday є останнім зручним вікном для оновлення сертифікатів до настання дедлайну.

Оновлення від інших вендорів

У травні оновлення безпеки також випустили:

Adobe – для After Effects, Premiere Pro та Illustrator;
Apple – для macOS, iOS та watchOS;
Cisco;
Fortinet;
Google – для Android;
Mozilla – для Firefox;
SAP.

Ivanti закрила критичну RCE-уразливість у Endpoint Manager Mobile, яка вже активно експлуатувалася як "нульовий день". Palo Alto Networks попередила про критичну вразливість у PAN-OS, яка також експлуатувалася. Патч для неї ще не випущено, доступні лише тимчасові засоби пом’якшення наслідків.

Джерело: itc.ua

Читайте також