微软2026年5月的补丁星期二发布包括137个微软的CVE和128个重新发布的非微软漏洞,为IT团队带来了广泛的补丁工作量。
虽然微软未确认本月有在野外的主动利用,但几个关键漏洞和13个标记为“更可能被利用的问题”增加了近期攻击的风险。
对于管理分布式端点、云连接服务、远程访问组件和协作平台的组织,本月的更新要求快速验证和基于风险的补丁优先级排序。
2026年5月的Microsoft补丁详细说明
本月的补丁星期二发布涵盖了云基础设施、协作平台、Windows网络组件、开发者工具和企业身份系统。主要主题是云连接企业环境和关键 Windows 基础设施中漏洞的集中。
受影响的关键领域包括:
区域 | 受影响的产品和组件 |
Windows基础设施和网络 | Netlogon, DNS, Hyper-V, TCP/IP, 远程桌面, WinSock, Windows 内核 |
Microsoft 365 协作工作负载 | Teams、SharePoint、Office Word、Excel、PowerPoint、与Copilot相关的服务 |
Azure 服务 | Azure DevOps, Azure Logic Apps, Azure Cloud Shell, Azure SDK, Azure Machine Learning, Azure Entra ID |
身份和身份验证 | Microsoft SSO 插件适用于 Jira 和 Confluence,Windows 身份验证服务 |
开发者和管理员工具 | SQL Server, ASP.NET Core, Visual Studio Code, GitHub Copilot, Windows Admin Center |
对于IT团队来说,风险并不仅限于某一个产品系列。这使得优先排序尤为重要,因为组织需要考虑传统Windows修补程序以及云连接服务的暴露。
最紧急的审查应集中在支持身份验证、网络、远程访问和云管理的系统上。这些组件通常具有广泛的企业影响力,如果攻击者在披露后开发出可靠的攻击方法,它们就会成为高影响目标。
零日和可能被�利用的漏洞
活跃利用 的漏洞在本月的补丁星期二发布中,微软尚未确认存在任何漏洞。然而,2026年5月仍然包含几个需要紧急关注的漏洞,因为微软已将其标记为“更可能被利用”。
该名称意味着Microsoft认为在漏洞披露后,这些漏洞更有可能被利用。本月,有13个漏洞属于该范畴:
CVE | 受影响的组件 |
CVE-2026-33835 | Windows Cloud Files Mini Filter Driver |
CVE-2026-33837 | Windows TCP/IP |
CVE-2026-33840 | Windows Win32K - ICOMP |
CVE-2026-35417 | Windows Win32K - ICOMP |
CVE-2026-33841 | Windows Kernel |
CVE-2026-40369 | Windows Kernel |
CVE-2026-35416 | Windows WinSock 辅助功能驱动程序 |
CVE-2026-35435 | Azure AI Foundry M365 发布代理 |
CVE-2026-40361 | Microsoft Office Word |
CVE-2026-40364 | Microsoft Office Word |
CVE-2026-40397 | Windows Common Log文件系统驱动程序 |
CVE-2026-40398 | Windows Remote Desktop |
CVE-2026-41103 | Microsoft SSO 插件用于 Jira & Confluence |
即使没有确认被利用,它们也应该在修补队列中优先,因为它们代表了近期可能被武器化的更高风险。
2026年5月的关键漏洞
2026年5月发布的几个漏洞具有严重或接近严重的严重性评级,并影响企业面向Azure、Windows基础设施、身份系统、协作工具和虚拟化环境的服务。
CVE | 受影响的产品或组件 | CVSS | 为何重要 |
CVE-2026-42826 | Azure DevOps | 10.0 | 一个影响开发人员工作流程和云连接开发环境的最高严重程度漏洞。 |
CVE-2026-33109 | 用于 Apache Cassandra 的 Azure 托管实例 | 9.9 | 使用托管云数据库基础设施的组织面临的关键问题。 |
CVE-2026-42823 | Azure Logic Apps | 9.9 | 影响云自动化和工作流编排,这些可能与业务关键系统深度连接。 |
CVE-2026-41089 | Windows Netlogon | 9.8 | 影响用于域环境的核心Windows身份验证组件。 |
CVE-2026-41096 | Microsoft Windows DNS | 9.8 | 影响广泛用于Windows环境中的基础网络服务。 |
CVE-2026-33823 | Microsoft Teams | 9.6 | 适用于在用户和部门中广泛部署Teams的组织。 |
CVE-2026-35428 | Azure Cloud Shell | 9.6 | 影响用于管理Azure环境的云管理工作流程。 |
CVE-2026-40379 | Azure Entra ID | 9.3 | 影响企业身份基础设施,使其成为高优先级的审查项目。 |
CVE-2026-40402 | Windows Hyper-V | 9.3 | 对于使用服务器虚拟化、开发系统或托管工作负载的组织来说,这很重要。 |
这些漏洞值得密切关注,因为它们会影响具有广泛访问权、高业务影响或特权管理角色的系统。Azure DevOps、Azure Logic Apps、Azure Cloud Shell 和 Azure Entra ID 应由管理云基础设施和身份环境的团队快速审查。Windows Netlogon、DNS、Hyper-V、TCP/IP 和 Windows Remote Desktop 漏洞应优先处理在域连接系统、服务器和关键基础设施中。
组织还应审查与 SQL Server、SharePoint、Office、ASP.NET Core、Windows 网络服务和开发工具相关的风险。即使漏洞未被证实为积极利用,关键严重性与企业曝光相结合,也会为安全修复创造一个狭窄的窗口。
如何优先处理2026年5月的补丁
面对137个Microsoft CVE以及大量重新发布的非Microsoft漏洞,IT团队应该采取基于风险的方法,而不是对每次更新一视同仁。优先考虑那些具有高曝光度、关键严重性、身份或网络影响,以及微软标记为“更可能被利用”的漏洞的系统。
1. 在72小时内修补
组织应优先处理影响关键基础设施、云管理、身份服务和远程访问工作流程的漏洞。这包括:
Azure DevOps、Azure Logic Apps、Azure Cloud Shell 和 Azure SDK 漏洞
Windows Netlogon、DNS、Hyper-V、TCP/IP和远程桌面漏洞
被标记为“更可能被利用”的漏洞
Teams、SharePoint、Office 及协作相关漏洞
远程桌面和Windows网络相关的漏洞
面��向互联网的系统和广泛可访问的服务
域控制器、DNS基础设施、身份系统和云管理环境
这些系统应尽快通过验证和部署,因为它们可能在企业环境中造成更大的影响。
2. 在1到2周内修补
在处理完高风险系统后,组织应更新具有广泛终端覆盖或重要操作影响的系统。这包括:
SQL Server和ASP.NET Core漏洞
Windows内核、WinSock和文件系统相关组件
Office Word、Excel 和 PowerPoint 漏洞
Azure 管理、监控和身份相关服务
开发者和管理员工具,包括GitHub Copilot、Visual Studio Code和Windows Admin Center
这些更新可能不都需要紧急部署,但如果受影响的产品广泛使用或连接到敏感工作流程,则不应推迟到完整的补丁周期后再处理。
3. 定期补丁周期
当受影响的系统具有有限的暴露、补偿控制或较窄的利用路径时,低优先级更新可以遵循标准的部署时间表。这可能包括低严重性的Windows服务问题、需要本地访问的漏洞,或不面向互联网或广泛可访问的系统。
即便是低优先级的补丁也应追踪到完成。五月的发布影响了广泛的端点、云、身份和开发者环境,所以如果团队未能保持对其所有软件和系统库存的可见性,延迟修补可能会造成盲点。
值得注意的第三方更新
本月,Microsoft 也重新发布了 128 个非 Microsoft CVEs,这为核心 Microsoft 漏洞的修补工作增加了另一层。这些重新发布的问题包括基于Chromium的Microsoft Edge漏洞、Node.js相关问题、Windows版Git漏洞,以及其他第三方依赖更新。
对于大多数组织来说,优先事项应该是审查在常用浏览器、开发者工具和开源组件中的曝光率。浏览器漏洞尤为重要,因为�它们可能影响大量用户,而开发人员依赖项可能会在构建系统、管理工作流和云连接环境中引入风险。
IT团队应该专注于:
浏览器曝光,特别是 Microsoft Edge
开发者工具和依赖项
Git for Windows 部署
与Node.js相关的组件
云连接的第三方集成
使用基于Chromium或开源组件的系统
本月的发布再次证明了为什么第三方补丁应该作为与操作系统更新相同的漏洞管理工作流程的一部分。即使 Microsoft CVE 在补丁星期二中引起最多关注,浏览器、开发工具和软件依赖项也可能因单独修补、手动跟踪或从常规端点管理中排除而造成重大风险。
Splashtop AEM 如何帮助您
五月的补丁星期二发布给 IT 团队带来了很多需要处理的工作。Splashtop AEM 帮助团队从暴露到补救更快地行动。
快速识别风险:集中可视化端点漏洞、补丁状态、硬件和软件清单,让团队能够优先关注需要留意的设备。
优先处理关键更新:利用CVE洞察和终端级别的上下文关注高风险问题,包括关键漏洞和标记为“更可能被利用”的问题。
更快打补丁:实时部署更新,自动化补丁策略,监控成功或失败,减少保持分布式端点安全所需的人工工作。
强化现有工作流程:Splashtop AEM 通过提供更快的补救、更好的可见性和简化的端点管理,帮助手动打补丁的团队、使用Microsoft Intune或依赖RMM的团队。
当补丁星期二影响�关键服务时,速度和可见性至关重要。Splashtop AEM 为IT团队提供了快速响应和保护端点的工具。
免费试用Splashtop AEM
像2026年5月这样的补丁星期二发布,给IT团队提供了一个狭窄的窗口,以识别风险、部署更新,并确认每个终端的修复情况。
使用 Splashtop AEM,您可以:
检测易受攻击的端点
优先处理关键的CVE
自动化补丁部署
监控补丁的成功和失败
加强分布式环境中的安全性
开始免费试用Splashtop AEM,获取实时补丁管理、CVE可见性、自动化和终端管理工具,帮助您的团队在关键漏洞被披露时更快速响应。
