微软于2026年5月20日发布一次非例行安全更新,修复两个已被利用的Microsoft Defender零日漏洞:CVE‑2026‑41091(权限提升)和CVE‑2026‑45498(拒绝服务)。 CVE‑2026‑41091源于Defender在访问文件前错误解析链接,可被本地攻击者利用提升到SYSTEM权限。

Create a landscape editorial hero image for this Studio Global article: What are the newly disclosed Microsoft Defender zero‑day vulnerabilities patched in the May 20 out‑of‑band update (including CVE‑2026‑41091. Article summary: Microsoft’s May 20, 2026 out-of-band Defender update addressed two newly disclosed, actively exploited Defender flaws: CVE-2026-41091, a local privilege-escalation link-following bug, and CVE-2026-45498, a Defender denia. Topic tags: general, government, general web, user generated, education. Reference image context from search candidates: Reference image 1: visual subject ""The May 2026 Patch Tuesday Release breaks a long-standing streak as the first release in nearly two years not to include a zero-day," said Satnam Narang, senior staff research eng" source context "No Zero-Days, but Plenty to Patch in Microsoft May Update" Reference image 2: visual subject "
2026年5月20日,微软发布了一次非例行(out‑of‑band)安全更新,紧急修复两个已经在真实攻击中被利用的 Microsoft Defender 漏洞:CVE‑2026‑41091 与 CVE‑2026‑45498。这两个漏洞影响 Windows 系统中广泛部署的 Defender 反恶意软件组件,并迅速被加入美国网络安全和基础设施安全局(CISA)的 Known Exploited Vulnerabilities(KEV,已知被利用漏洞)目录,意味着攻击活动已经被确认存在,需要优先修补。
虽然两者的技术原理不同——一个涉及权限提升,另一个会影响安全服务的可用性——但它们都作用于企业依赖的重要安全防护组件,因此风险不容忽视。
CVE‑2026‑41091 属于一种典型的 “链接跟随(link‑following)”漏洞。问题出在 Microsoft Defender 在访问文件前没有正确解析文件链接,可能跟随攻击者控制的符号链接或类似重定向路径。
在某些扫描或文件处理场景下,Defender 会以较高权限执行操作。如果攻击者能够操控这些链接,就可能让 Defender 对并非原本目标的文件执行操作。
最终结果是:攻击者可以利用该行为将权限提升到 SYSTEM 级别,从而获得对整台机器的完全控制。
关键特征:
此类漏洞常见的利用方式包括:
虽然官方公告没有公开完整利用代码,但这种漏洞类型在 Windows 权限提升攻击链中非常常见。
第二个漏洞 CVE‑2026‑45498 会导致 Microsoft Defender 出现拒绝服务(DoS) 状态。公开资料仅描述为一个未详细说明的漏洞,可导致 Defender 组件发生服务中断。
如果攻击成功,可能产生以下影响:
由于 Defender 是 Windows 的实时终端安全组件,一旦被干扰,就可能为恶意程序或入侵后的横向活动提供短暂但关键的“无监控窗口”。
微软确认这两个漏洞在补丁发布前已经被攻击者利用,这也是此次紧急更新发布的重要原因之一。
已有的证据包括:
不过,截至披露时,公开资料仍未提供:
这两个漏洞主要影响 Microsoft Defender 的组件版本,而不是某个特定 Windows 系统版本。
因此可能受影响的环境包括:
公告指出,存在风险的版本包括:
需要注意的是:Defender 的平台与引擎更新可以独立于 Windows 更新发布,因此仅仅安装 Windows 累积更新并不一定已经修复漏洞。管理员应检查 Defender 组件版本。
一些安全研究人员提到,近期存在一系列针对微软安全组件的漏洞发布活动,与一个被称为 Nightmare‑Eclipse(又名 Chaotic Eclipse) 的攻击者有关。
研究报告称,该攻击者在 2026 年初连续公开多个 Windows 或 Defender 相关的零日漏洞,部分事件被认为与其与微软漏洞披露流程的争议有关。
不过,目前公开证据尚未证明 CVE‑2026‑41091 或 CVE‑2026‑45498 与该行动存在直接关联。它们更可能只是近期针对 Defender 漏洞活动增多的整体趋势中的一部分。
对于运行 Windows 和 Microsoft Defender 的组织来说,这两个漏洞应被视为优先级较高的补丁任务。
建议措施包括:
如果短时间内无法完成更新,可以通过以下方式降低风险:
终端安全软件本身一旦出现漏洞,风险往往更大。
Microsoft Defender 在系统中拥有较高权限,并且与 Windows 深度集成。如果攻击者能够利用其文件处理逻辑或服务组件中的漏洞,就可能把一个普通用户权限的访问点,迅速升级为对整个系统的控制。
这次 5 月 20 日的紧急补丁再次提醒一个事实:安全工具本身也可能成为攻击面。对于企业 IT 团队来说,快速部署 Defender 更新、持续监控终端安全状态,仍然是最关键的防御措施。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
微软于2026年5月20日发布一次非例行安全更新,修复两个已被利用的Microsoft Defender零日漏洞:CVE‑2026‑41091(权限提升)和CVE‑2026‑45498(拒绝服务)。
微软于2026年5月20日发布一次非例行安全更新,修复两个已被利用的Microsoft Defender零日漏洞:CVE‑2026‑41091(权限提升)和CVE‑2026‑45498(拒绝服务)。 CVE‑2026‑41091源于Defender在访问文件前错误解析链接,可被本地攻击者利用提升到SYSTEM权限。
两个漏洞均被列入美国CISA“已知被利用漏洞(KEV)目录”,表明现实攻击活动已经出现。