У травні 2026 року компанія Microsoft провела черговий цикл оновлень, відомий як Patch Tuesday, в рамках якого були виправлені понад 120 вразливостей у різних продуктах. Серед них особливо виділяються критичні проблеми безпеки, які можуть бути використані зловмисниками для несанкціонованого доступу до систем та даних користувачів. Зокрема, значна увага була приділена пакету Office, де фахівці зазначили наявність ряду уразливостей, що потребують термінового реагування. Виявлені недоліки можуть дозволити злов
12 травня 2026 рокуMicrosoftвипустила планові оновлення безпекиPatch Tuesday. Цього місяця закрито 120 вразливостей у продуктах компанії. Нульових днів у випуску немає, однак 17 вразливостей отримали статус критичних.
Найбільша категорія — підвищення привілеїв: 61 вразливість. Далі йдуть 31 помилка віддаленого виконання коду, 14 розкриттів інформації, 13 спуфінг-вразливостей, 8 відмов у обслуговуванні і 6 обходів функцій безпеки.
Найпріоритетніші для системних адміністраторів — вразливості вMicrosoft Office, Word і Excel. Більшість із них спрацьовують при відкритті шкідливого файлу, а частина — навіть через панель попереднього перегляду без повного відкриття документа. Word отримав п’ять виправлень для RCE-помилок, Office — три критичних патчі. Оновлення Office варто встановити якнайшвидше всім, хто регулярно отримує вкладення електронною поштою.
Серед окремих вразливостей варто виділити три. CVE-2026-41096 — критична помилка в DNS-клієнті Windows: зловмисник через підконтрольний DNS-сервер може надіслати спеціально сформовану відповідь і виконати код на вразливій системі. CVE-2026-35421 — критична RCE у компоненті Windows GDI: для атаки достатньо змусити жертву відкрити шкідливий EMF-файл у Microsoft Paint. CVE-2026-40365 — критична RCE у SharePoint Server: автентифікований зловмисник може виконати код на сервері через мережу.
Окремо стоїть CVE-2026-41097 — обхід функції безпеки Secure Boot. Це не критична помилка за класифікацією, але особливо важлива: 26 червня 2026 року минає термін дії старих сертифікатів Secure Boot. Травневий Patch Tuesday — останнє комфортне вікно для оновлення сертифікатів до настання дедлайну.
Крім Microsoft, у травні оновлення випустили Adobe (After Effects, Premiere Pro, Illustrator),Apple(macOS, iOS, watchOS), Cisco, Fortinet,Google(Android), Mozilla (Firefox) і SAP. Ivanti закрила критичну RCE у Endpoint Manager Mobile, яка вже активно експлуатувалася як нульовий день. Palo Alto Networks попередила про критичну вразливість у PAN-OS, яка також експлуатувалась — патч ще не вийшов, доступні лише засоби пом’якшення.
Googlebook: витік розкриває подробиці повернення Google на ринок ноутбуків
Джерело:BleepingComputer