Microsoft 於 2026 年 5 月 20 日發佈緊急(out‑of‑band)更新,修補兩個已被實際利用嘅 Defender 零日漏洞:CVE‑2026‑41091(權限提升)同 CVE‑2026‑45498(拒絕服務)。 CVE‑2026‑41091 屬於 link‑following 類漏洞,本地攻擊者可利用 Defender 嘅檔案連結解析問題升級至 SYSTEM 權限。

Create a landscape editorial hero image for this Studio Global article: What are the newly disclosed Microsoft Defender zero‑day vulnerabilities patched in the May 20 out‑of‑band update (including CVE‑2026‑41091. Article summary: Microsoft’s May 20, 2026 out-of-band Defender update addressed two newly disclosed, actively exploited Defender flaws: CVE-2026-41091, a local privilege-escalation link-following bug, and CVE-2026-45498, a Defender denia. Topic tags: general, government, general web, user generated, education. Reference image context from search candidates: Reference image 1: visual subject ""The May 2026 Patch Tuesday Release breaks a long-standing streak as the first release in nearly two years not to include a zero-day," said Satnam Narang, senior staff research eng" source context "No Zero-Days, but Plenty to Patch in Microsoft May Update" Reference image 2: visual subject "
Microsoft 喺 2026 年 5 月 20 日發佈一個緊急(out‑of‑band)安全更新,修補兩個已經喺真實攻擊中被利用嘅 Microsoft Defender 漏洞:CVE‑2026‑41091 同 CVE‑2026‑45498。呢兩個漏洞影響 Windows 系統內置嘅 Defender 防毒與端點保護組件,而且已被加入 CISA 嘅 Known Exploited Vulnerabilities(KEV)目錄,代表已有實際攻擊證據,需要盡快修補。
雖然兩個漏洞嘅技術細節唔一樣,但共同點係:佢哋都影響企業同個人電腦最核心嘅安全防護工具之一——Microsoft Defender。
CVE‑2026‑41091 係一個典型嘅 link‑following 漏洞。問題出喺 Defender 喺存取檔案之前,未正確處理檔案連結(例如 symbolic link 或其他檔案系統重導)。
簡單講,如果系統入面有惡意建立嘅檔案連結,Defender 有機會跟住呢個連結去操作另一個本來受保護嘅檔案。
由於 Defender 會以 高權限(SYSTEM) 執行部分掃描或檔案操作,一個已登入系統嘅低權限使用者可以利用呢個行為,將自己嘅權限提升到 SYSTEM 等級,即係完全控制整部電腦。
漏洞重點包括:
實際攻擊通常會涉及:
呢類漏洞經常會被黑客用作 攻擊鏈入面嘅權限提升步驟。
第二個漏洞 CVE‑2026‑45498 係一個 拒絕服務(Denial‑of‑Service, DoS)漏洞。公開技術資料目前只描述為 Defender 入面一個未公開細節嘅弱點,可以導致服務中斷。
成功利用後可能造成:
由於 Defender 提供即時端點防護,如果攻擊者可以令佢停運,即可能出現一段 沒有防護監測嘅時間窗口,方便惡意程式或後續攻擊行動進行。
Microsoft 已確認 兩個漏洞都已經被攻擊者喺真實環境利用,因此先會發佈緊急更新。
支持呢個結論嘅證據包括:
不過,截至公開資訊,仍未見到完整 exploit 程式、入侵指標(IOC)或受害者統計資料。
呢兩個漏洞主要影響 Microsoft Defender 組件,而唔係特定 Windows 版本。因此只要運行受影響 Defender 版本嘅 Windows 系統都可能受影響,例如:
安全通告指出,受影響版本包括:
要留意一點:Defender 引擎同平台更新 唔一定跟 Windows 系統更新同步。所以單純更新 Windows 並唔保證已修補漏洞,管理員需要直接檢查 Defender 版本。
近期安全研究亦提到一個被稱為 Nightmare‑Eclipse(又名 Chaotic Eclipse) 嘅威脅行動。研究指該組織喺 2026 年持續釋出多個針對 Windows 同 Defender 嘅漏洞利用工具。
相關報告形容呢個行動係一連串針對 Microsoft 生態系統嘅零日漏洞釋出事件。
不過目前公開證據 未能證實 CVE‑2026‑41091 或 CVE‑2026‑45498 與該活動有直接關聯。現有資訊只顯示 Defender 正成為多個漏洞研究與攻擊活動嘅焦點。
對於使用 Windows 同 Microsoft Defender 嘅組織,呢兩個漏洞應該被視為 高優先級修補項目。
建議行動包括:
如果短期內未能更新系統,可以暫時採取以下風險降低措施:
端點防護工具本身出現漏洞,風險通常會更高。
原因係 Defender 與 Windows 系統深度整合,而且大量操作都以高權限執行。一旦檔案處理或服務邏輯出現漏洞,就可能被攻擊者利用,變成 攻擊入口而唔係防禦工具。
5 月 20 日嘅緊急更新再次提醒企業與系統管理員:安全工具本身亦需要持續更新同監控。最有效嘅防禦措施,仍然係盡快部署最新 Defender 更新,縮短漏洞被利用嘅時間窗口。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Microsoft 於 2026 年 5 月 20 日發佈緊急(out‑of‑band)更新,修補兩個已被實際利用嘅 Defender 零日漏洞:CVE‑2026‑41091(權限提升)同 CVE‑2026‑45498(拒絕服務)。
Microsoft 於 2026 年 5 月 20 日發佈緊急(out‑of‑band)更新,修補兩個已被實際利用嘅 Defender 零日漏洞:CVE‑2026‑41091(權限提升)同 CVE‑2026‑45498(拒絕服務)。 CVE‑2026‑41091 屬於 link‑following 類漏洞,本地攻擊者可利用 Defender 嘅檔案連結解析問題升級至 SYSTEM 權限。
由於 Defender 平台同 Malware Protection Engine 會獨立更新,系統管理員需要檢查 Defender 版本,而唔只係 Windows OS 更新狀態。