综合 · 新闻详情

微软发布软件更新以堵塞至少 570 个安全漏洞

科技 · 社区 · Hacker News · 2026-07-15 · 重磅值 82.00
正文来源:源网页正文机器翻译
原文链接:https://krebsonsecurity.com/2026/07/microsoft-patches-a-record-570-security-flaws/

微软公司今天发布了软件更新,以填补其 Windows 操作系统和其他软件中至少 570 个安全漏洞,几乎是该软件巨头上个月在创纪录的星期二补丁中修复的漏洞数量的三倍。微软将补丁数量的激增归因于人工智能辅助的漏洞发现。

7 月份的补丁星期二中消除的近 60 个错误获得了“严重”严重性评级,这意味着不法分子或恶意软件可以利用它们在用户很少或根本没有帮助的情况下夺取对 Windows 设备的远程控制。微软还解决了三个零日漏洞,其中两个已经被广泛利用。其中两个零日漏洞允许攻击者提升 Windows 系统上的用户权限,本月修复的大约 250 个其他特权提升漏洞也是如此。其中包括 CVE-2026-56155(一个 Active Directory 联合身份验证服务错误)和 CVE-2026-56164(一个 Microsoft Sharepoint 漏洞)。

CVE-2026-50661 是 Windows BitLocker 中的安全功能绕过,如果攻击者能够物理访问设备,则可能允许他们访问加密数据。微软表示,该漏洞已被公开详细说明,但尚未发现任何活跃的利用情况。微软执行副总裁 Pavan Davuluri 在 7 月 9 日的博客文章中写道,由于人工智能有助于发现漏洞,Windows 用户将注意到“每个安全版本中包含更多的安全更新”。

Davuluri 写道:“随着人工智能的进步,漏洞发现的速度正在发生变化,使得通过可以加速发现和分析的新机制,可以更快地跨更多代码发现更多问题。” Action1 漏洞研究总监 Jack Bicer 呼吁关注 CVE-2026-48561,这是 Microsoft Copilot 中的一个远程代码执行漏洞(CVSS 威胁评分为 9.6),允许未经授权的攻击者通过网络执行代码。微软表示,攻击者可以通过托管恶意网站来利用此漏洞,该网站会导致 Android 版 Microsoft Edge 在用户访问该网站时自动向 Copilot 发送精心设计的提示。随着人工智能不断进步漏洞发现和修复的水平,它也使攻击者更容易快速设计针对已知软件缺陷的有效漏洞。微软长期以来一直使用其“可利用性指数”来标记安全漏洞,这是雷德蒙德对攻击者能够找出利用给定漏洞的可靠方法的可能性的最佳猜测。但 Tenable 的高级研究工程师 Satnam Narang 认为,微软的可利用性指数需要更好地随着机器的发现速度而变化。例如,尽管该缺陷于 7 月 1 日被添加到 CISA 的已知被利用漏洞列表中,但 Microsoft 最初给本月的 SharePoint 零日漏洞的可利用性评级为“不太可能”。“Anthropic 的红队自己对已知漏洞(n 天)的发现揭示了该系统已变得多么脆弱,其 Mythos Preview 模型能够为 14 个被评为‘利用较少’的漏洞中的 13 个提供概念验证利用。可能”或“不太可能被利用”,纳朗说。

“这意味着我们看待补丁星期二的方式已经改变,因为可利用性指数以人类为中心,而不是人工智能工具,随着这些工具的不断改进,防御也需要随之改进。” Ivanti 的 Chris Goettl 观察到,在微软创下创纪录的补丁数量之际,许多其他主要软件制造商也在增加补丁节奏,其中包括 Adob​​e,该公司今天宣布将改为每月两次和第四个星期二发布安全公告

机器翻译/自动整理可能存在误差,请以原文为准。