Microsoft Patch Tuesday травень 2026: 120 вразливостей, 17 критичних, без нульових днів / Bleeping Computer

12 травня 2026 року Microsoft випустила планові оновлення безпеки Patch Tuesday. Цього місяця закрито 120 вразливостей у продуктах компанії. Нульових днів у випуску немає, однак 17 вразливостей отримали статус критичних.

Найбільша категорія — підвищення привілеїв: 61 вразливість. Далі йдуть 31 помилка віддаленого виконання коду, 14 розкриттів інформації, 13 спуфінг-вразливостей, 8 відмов у обслуговуванні і 6 обходів функцій безпеки.

Найпріоритетніші для системних адміністраторів — вразливості в Microsoft Office, Word і Excel. Більшість із них спрацьовують при відкритті шкідливого файлу, а частина — навіть через панель попереднього перегляду без повного відкриття документа. Word отримав п’ять виправлень для RCE-помилок, Office — три критичних патчі. Оновлення Office варто встановити якнайшвидше всім, хто регулярно отримує вкладення електронною поштою.

Серед окремих вразливостей варто виділити три. CVE-2026-41096 — критична помилка в DNS-клієнті Windows: зловмисник через підконтрольний DNS-сервер може надіслати спеціально сформовану відповідь і виконати код на вразливій системі. CVE-2026-35421 — критична RCE у компоненті Windows GDI: для атаки достатньо змусити жертву відкрити шкідливий EMF-файл у Microsoft Paint. CVE-2026-40365 — критична RCE у SharePoint Server: автентифікований зловмисник може виконати код на сервері через мережу.

Окремо стоїть CVE-2026-41097 — обхід функції безпеки Secure Boot. Це не критична помилка за класифікацією, але особливо важлива: 26 червня 2026 року минає термін дії старих сертифікатів Secure Boot. Травневий Patch Tuesday — останнє комфортне вікно для оновлення сертифікатів до настання дедлайну.

Крім Microsoft, у травні оновлення випустили Adobe (After Effects, Premiere Pro, Illustrator), Apple (macOS, iOS, watchOS), Cisco, Fortinet, Google (Android), Mozilla (Firefox) і SAP. Ivanti закрила критичну RCE у Endpoint Manager Mobile, яка вже активно експлуатувалася як нульовий день. Palo Alto Networks попередила про критичну вразливість у PAN-OS, яка також експлуатувалась — патч ще не вийшов, доступні лише засоби пом’якшення.