Microsoft 2026 年 7 月修補週二:創紀錄地修復了 570 個安全性漏洞
Microsoft 2026 年 7 月修補週二:創紀錄地修復了 570 個安全性漏洞
Microsoft 已發布了一套打破紀錄的軟體更新,解決了 Windows 作業系統和其他軟體中的至少 570 個安全性漏洞。這一數量幾乎是上個月創紀錄修補週二發布的修復數量三倍。
AI 驅動的漏洞發現
Microsoft 將修補數量的大幅增加歸功於在漏洞發現過程中整合了人工智慧。Microsoft 副總裁 Pavan Davuluri 表示,AI 正在使公司能夠透過新的發現和分析機制,更快速地在更大規模的程式碼中發現更多問題。
這種趨勢不僅限於 Microsoft。其他主要的軟體供應商也因 AI 加速而增加了修補頻率:
- Adobe 已轉向每月兩次的安全性公告。
- Google 在 2026 年 6 月發布了超過 900 個安全性修復。
- Cisco、Mozilla 和 Oracle 也正在更頻繁地發布更新。
關鍵漏洞與零日漏洞
在 7 月修復的 570 個錯誤中,有近 60 個獲得了「關鍵」嚴重程度評級,這表示攻擊者可能在極少的使用者互動下,就能遠端控制 Windows 裝置。
零日漏洞利用
Microsoft 處理了三個零日漏洞,其中包括兩個正在被野外利用的漏洞。這些包括:
- CVE-2026-56155:Active Directory Federation Services 中的權限提升錯誤。
- CVE-2026-56164:Microsoft SharePoint 中的一個漏洞。值得注意的是,儘管 Microsoft 最初將其可利用性評級為「較不可能被利用」,但該漏洞仍於 7 月 1 日被加入到 CISA 的已知利用漏洞清單中。
- CVE-2026-50661:Windows BitLocker 中的安全性功能繞過,如果攻擊者擁有裝置的實體存取權限,則可能允許存取加密數據。
遠端程式碼執行 (RCE)
CVE-2026-48561 是 Microsoft Copilot 中的一個高嚴重性遠端程式碼執行漏洞 (CVSS 分數 9.6)。攻擊者可以透過託管惡意網站,觸發 Microsoft Edge for Android 在造訪時向 Copilot 發送精心設計的提示詞。
可利用性指數的侵蝕
業界專家認為,傳統的風險評估模型已無法跟上 AI 的步伐。Tenable 的 Satnam Narang 指出,Microsoft 的「可利用性指數」是以人類能力而非機器速度為中心。
來自 Anthropic 的 Red Team 的研究證明了這種脆弱性:他們的 Mythos Preview 模型成功地為 Microsoft 評級為「Exploitation Less Likely」或「Exploitation Unlikely」的 14 個漏洞中的 13 個產生了概念驗證 (PoC) 利用程式碼。
技術分析與社群觀點
分析修補程式發布的情況顯示,570 個漏洞的總數包括了從第三方依賴項繼承的漏洞,而非僅限於 Microsoft 的專有程式碼。例如,Azure Linux 發行版 (原名 Mariner) 中的漏洞包括對 OpenSSH 等開源專案的修復。其中一些 OpenSSH 的修復是特別使用基於 LLM 的工具(如 Swival Security Scanner)檢測到的。
社群討論強調了對目前 Windows 安全性的幾項關注:
修補程式穩定性:鑑於變更量巨大,修補程式引入新系統穩定性問題的風險增加。
依賴項膨脹:Chromium (影響 Microsoft Edge) 等組件中的高數量 CVEs 被引用為「快速行動並打破東西」開發文化的一種症狀。
報告摩擦:使用者回報,透過官方回饋管道提交錯誤通常沒有結果,這表示使用者回報的問題與開發者可見度之間存在差距。
管理員建議
由於本次發布的修補程式數量空前,建議使用者與管理員:
- 進行完整備份:在套用更新之前,確保所有關鍵系統與數據備份都是最新的。
- 分階段部署:考慮在部署這些更新到生產環境之前等待幾天,以確保穩定性並避免因高修補數量而可能引入的退化 (regressions) 問題。