Microsoft Patch Tuesday, май 2026 года: 120 уязвимостей, 17 критических, без уязвимостей нулевого дня / Bleeping Computer

12 мая 2026 года Microsoft выпустила плановые обновления безопасности Patch Tuesday. В этом месяце закрыто 120 уязвимостей в продуктах компании. Нулевых дней в выпуске нет, однако 17 уязвимостей получили статус критических.

Самая большая категория — повышение привилегий: 61 уязвимость. Далее следуют 31 ошибка удаленного выполнения кода, 14 раскрытий информации, 13 спуфинг-уязвимостей, 8 отказов в обслуживании и 6 обходов функций безопасности.

Самые приоритетные для системных администраторов — уязвимости в Microsoft Office, Word и Excel. Большинство из них срабатывают при открытии вредоносного файла, а часть — даже через панель предварительного просмотра без полного открытия документа. Word получил пять исправлений для RCE-ошибок, Office — три критических патча. Обновление Office стоит установить как можно быстрее всем, кто регулярно получает вложения по электронной почте.

Среди отдельных уязвимостей стоит выделить три. CVE-2026-41096 — критическая ошибка в DNS-клиенте Windows: злоумышленник через подконтрольный DNS-сервер может отправить специально сформированный ответ и выполнить код на уязвимой системе. CVE-2026-35421 — критическая RCE в компоненте Windows GDI: для атаки достаточно заставить жертву открыть вредоносный EMF-файл в Microsoft Paint. CVE-2026-40365 — критическая RCE в SharePoint Server: аутентифицированный злоумышленник может выполнить код на сервере через сеть.

Отдельно стоит CVE-2026-41097 — обход функции безопасности Secure Boot. Это не критичная ошибка по классификации, но особенно важная: 26 июня 2026 года истекает срок действия старых сертификатов Secure Boot. Майский Patch Tuesday — последнее комфортное окно для обновления сертификатов до наступления дедлайна.

Кроме Microsoft, в мае обновления выпустили Adobe (After Effects, Premiere Pro, Illustrator), Apple (macOS, iOS, watchOS), Cisco, Fortinet, Google (Android), Mozilla (Firefox) и SAP. Ivanti закрыла критическую RCE в Endpoint Manager Mobile, которая уже активно эксплуатировалась как нулевой день. Palo Alto Networks предупредила о критической уязвимости в PAN-OS, которая также эксплуатировалась — патч еще не вышел, доступны только средства смягчения.