微软谷歌等60多家厂商发布重要安全补丁修复

这是周二补丁日，众多软件厂商针对其产品和服务中的各种安全漏洞发布了补丁程序。

微软发布安全修复

微软发布了针对59个安全漏洞的修复程序，其中包括6个已被积极利用的零日漏洞，这些漏洞存在于Windows各个组件中，攻击者可利用这些漏洞绕过安全功能、提升权限并触发拒绝服务攻击。

Adobe产品安全更新

Adobe为Audition、After Effects、InDesign Desktop、Substance 3D、Bridge、Lightroom Classic和DNG SDK发布了更新。该公司表示，目前尚未发现任何安全缺陷被野外利用的情况。

SAP修复关键漏洞

SAP发布了两个严重级别漏洞的修复程序。第一个是SAP CRM和SAP S/4HANA中的代码注入漏洞（CVE-2026-0488，CVSS评分：9.9），已认证的攻击者可利用该漏洞执行任意SQL语句，导致数据库完全妥协。

第二个严重漏洞是SAP NetWeaver Application Server ABAP和ABAP平台中缺少授权检查的问题（CVE-2026-0509，CVSS评分：9.6），可能允许已认证的低权限用户在没有所需S_RFC授权的情况下执行某些后台远程函数调用。

Onapsis公司表示："要修复此漏洞，客户必须实施内核更新并设置配置文件参数。可能需要调整用户角色和UCON设置以确保业务流程不被中断。"

英特尔与谷歌合作发现安全问题

英特尔和谷歌表示，两家公司合作检查了英特尔信任域扩展（TDX）1.5的安全性，在该模块中发现了5个漏洞（CVE-2025-32007、CVE-2025-27940、CVE-2025-30513、CVE-2025-27572和CVE-2025-32467），以及近三十个弱点、错误和改进建议。

谷歌表示："英特尔TDX 1.5引入了新功能，使机密计算在功能上大幅接近传统虚拟化解决方案的同等水平。与此同时，这些功能也增加了可信计算基础中高权限软件组件的复杂性。"

其他厂商安全更新

最近几周，其他厂商也发布了安全更新以修复多个漏洞，包括：

ABB、亚马逊网络服务、AMD、AMI、苹果、华硕、AutomationDirect、AVEVA、博通（包括VMware）、佳能、Check Point、思科、Citrix、Commvault、ConnectWise、友讯、达索系统、戴尔、Devolutions、dormakaba、Drupal、F5、飞塔、福昕软件、富士胶片、富士通、技嘉、GitLab、谷歌Android和Pixel、谷歌Chrome、谷歌云、Grafana、海康威视、日立能源、惠普、惠普企业（包括Aruba网络和瞻博网络）、IBM、英特尔、Ivanti、联想。

此外还包括多个Linux发行版如AlmaLinux、Alpine Linux、Amazon Linux、Arch Linux、Debian、Gentoo、Oracle Linux、Mageia、Red Hat、Rocky Linux、SUSE和Ubuntu，以及联发科、三菱电机、MongoDB、摩莎、Mozilla Firefox和Thunderbird、n8n、英伟达、菲尼克斯电气、威联通、高通、理光、罗克韦尔自动化、三星、施耐德电气、ServiceNow、西门子、SolarWinds、Splunk、Spring Framework、Supermicro、群晖、TP-Link、WatchGuard、Zoho ManageEngine、Zoom和合勤等厂商。

Q&A

Q1：微软本次补丁修复了哪些重要漏洞？

A：微软发布了针对59个安全漏洞的修复程序，其中包括6个已被积极利用的零日漏洞，这些漏洞存在于Windows各个组件中，攻击者可利用这些漏洞绕过安全功能、提升权限并触发拒绝服务攻击。

Q2：SAP的关键漏洞有多严重？

A：SAP修复了两个严重级别漏洞。一个是代码注入漏洞（CVSS评分9.9），攻击者可执行任意SQL语句导致数据库完全妥协；另一个是缺少授权检查问题（CVSS评分9.6），可能允许低权限用户执行未授权的远程函数调用。

Q3：英特尔TDX 1.5存在什么安全问题？

A：英特尔和谷歌合作检查发现，英特尔信任域扩展TDX 1.5模块中存在5个漏洞和近三十个弱点、错误。虽然TDX 1.5引入了新功能使机密计算接近传统虚拟化水平，但也增加了高权限软件组件的复杂性。