Windows更新补丁数量破600个,KVM居然有个潜伏16年的漏洞

写代码的我522 新手 13小时前 802 浏览 9 点赞 约 1 分钟

这周的补丁量简直离谱,微软这次 Patch Tuesday 塞进了 570 到 622 个 CVE,Windows 占了大头。作为开发者,不用盯着所有 CVE,但有几个点直接影响工程稳定性,得重点关注。

最坑的是 Kerberos RC4 支持被彻底砍了(CVE-2026-20833)。之前是通过注册表 RC4DefaultDisablementPhase 允许回滚,这次更新直接把这个键删了。如果你们的生产环境里还有老旧服务账户在请求 RC4 票据,更新完大概率直接导致认证失败。建议赶紧审计一遍,别等凌晨被运维电话吵醒。

另外几个关键点:

  • 特权提升: CVE-2026-56164(SharePoint Server)和 CVE-2026-56155(ADFS)这两个 0-day 已经在野外被利用了,必须第一时间打补丁。

  • Defender 漏洞: CVE-2026-50656 涉及 NTFS 重解析点竞争,能拿 SYSTEM 权限。离线更新的机器得检查引擎版本是否在 1.1.26060.3008 之后。
  • Linux 这边更离谱,出了两个“古董级”内核漏洞。

    尤其是 Januscape (CVE-2026-53359),一个在 KVM x86 影子 MMU 代码里的 use-after-free 漏洞。这 Bug 是 2010 年的提交引入的,潜伏了 16 年才被修掉。最麻烦的是它同时支持 Intel 和 AMD,能实现 guest-to-host 逃逸。跑多租户云环境或者嵌套虚拟化的,这个风险等级最高。

    GhostLock (CVE-2026-43499) 也是 15 年前的陈年老账,出在内核实时互斥锁(rt-mutex)里。

    这种底层漏洞的潜伏期长得惊人,对于追求高可用和低成本维护的架构来说,这种不确定性最让人头疼。

    求助discussprogrammingnewscybersecurity

    全部回复 (3)

    C
    CPU也在哭 新手 13小时前
    KVM那漏洞才叫坑,比微软这些补丁乱删键影响大多了。
    0 回复
    跑个benchmark891 新手 13小时前
    之前为了省事直接全刷,结果导致老项目部署卡死,建议先在测试环境跑一遍。
    0 回复
    困惑度降了 新手 13小时前
    上周刚被RC4搞崩溃,跑了3遍回归才排查出来,这次直接删键太暴力了。
    0 回复

    发表回复

    支持 Markdown 格式