这周的重量级安全更新,你错过了没有?微软一口气抛出史上最大规模补丁包,两个比初中生年纪还大的Linux内核漏洞也在同一周被彻底封堵,软件底层一时风起云涌。
先说微软的7月补丁星期二。按照趋势科技零日计划(ZDI)的追踪数据,本次发布的CVE编号大约在570到622条之间,涉及Windows、Office、Exchange Server、SharePoint Server、SQL Server、Azure、Visual Studio等全线产品,光是Windows自身就扛下了大头。无论是用微软自己的发布说明去数,还是参考ZDI的统计,这次补丁规模都已刷新纪录。
光看数量还不够,有三个零日漏洞把事情的严重性又往上推了一个层级。其中两条在补丁落地前就已经被真实攻击盯上:一个是SharePoint Server的提权漏洞(CVE-2026-56164),未经认证的攻击者能从网络侧直接完成权限绕过;另一个是活动目录联合身份验证服务(ADFS)的缺陷(CVE-2026-56155)。第三条是BitLocker加密绕过(CVE-2026-50661),谁要是能物理摸到机器,就可以绕开设备加密读取数据,这个漏洞的详情已公开,只是尚未被确认进入实战利用阶段。
当天还有一件让运维心跳加速的事:Kerberos认证中的RC4加密支持被永久移除。今年1月起微软就开始记录RC4票据的审计事件,4月把默认加密类型改成了AES,本周的更新则直接删掉了允许管理员手动回退的注册表键值RC4DefaultDisablementPhase。也就是说,只要补丁一打,环境中仍在用RC4请求Kerberos服务票据的账户,极可能立刻遭遇认证失败,足够在凌晨两点把值班人员叫醒。背后的根因漏洞(CVE-2026-20833)是一个典型的Kerberoasting攻击向量——攻击者一旦截获用RC4加密的服务票据,离线暴力破解就只是时间问题。
另外,RoguePlanet漏洞的正式修复也随着这批积累包一同下发。这是一个Windows Defender及恶意软件保护引擎的提权问题(CVE-2026-50656),本地攻击者可以通过与NTFS重解析点的竞态条件,抢出SYSTEM权限的命令行。微软其实已经在7月8日至9日进行了一轮带外修复,提前堵住了公开的概念验证代码的攻击路径。如果你的环境里有隔离网或手动更新的机器,务必确认防护引擎版本已升级到1.1.26060.3008或更高,自动更新通道不一定能百分百覆盖。
视线转向Linux内核这边,本周的两个老漏洞让人细思极恐。其中一个编号CVE-2026-53359、代号Januscape的漏洞,竟然在KVM虚拟化模块里静静躺了16年。这是一个使用后释放(use‑after‑free)型缺陷,理论上能让虚拟机里的攻击者逃逸到宿主机上执行代码。一个十六周岁的bug,比很多刚入行的开发者年纪都大,就这样一直藏在无数云基础设施的底层代码里。
另一个漏洞与Januscape同样出身“古早时期”,具体细节同样在安全社区里引发了大量探讨。同一周里,两个年纪加起来可能超过三十岁的内核缺陷被同时摆上台面,对任何依赖Linux虚拟化的团队来说,都很难不心里一紧。
从微软破纪录的补丁数量,到Linux内核里沉睡十五六年的幽灵漏洞,这七天像是一场浓缩的安全地震。它再次提醒所有把业务跑在操作系统和虚拟化层之上的人:底层的水比想象中深得多,也远比自己预料的更旧、更顽固。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.