Firma właśnie wypuściła ogromny pakiet bezpieczeństwa eliminujący aż 137 podatności w Windowsie, Office, Azure, Dynamics 365 oraz kilku innych usługach i komponentach. Co ważne — na szczęście żadna z tych luk nie została jeszcze wykorzystana w realnych atakach, ale patrząc na skalę części problemów, eksperci są zgodni: to raczej kwestia czasu.
Microsoft właśnie naprawił 137 podatności w Windowsie
Wśród wszystkich poprawek aż 30 błędów uznano za krytyczne, a czternaście otrzymało ocenę CVSS na poziomie 9.0 lub wyższym. Czyli mówiąc wprost: naprawdę źle. Najpoważniejsze problemy obejmują między innymi:
- CVE-2026-41096 — luka w DNS (CVSS 9.8)
Pozwala na zdalne wykonanie kodu bez jakiejkolwiek interakcji użytkownika. W praktyce oznacza to, że odpowiednio spreparowana odpowiedź DNS mogła potencjalnie umożliwić przejęcie kontroli nad systemem. - CVE-2026-41089 — problem w Windows Netlogon (CVSS 9.8)
Szczególnie niebezpieczny dla firm i administratorów domen. Badacze określają tę lukę jako potencjalnie „robaczną”, czyli zdolną do samodzielnego rozprzestrzeniania się między systemami. - CVE-2026-40364 oraz CVE-2026-40361 — błędy w Microsoft Word
I tutaj robi się naprawdę nieprzyjemnie, bo infekcja mogła nastąpić już na etapie podglądu dokumentu w oknie preview. Nawet bez otwierania pliku. To dokładnie ten typ podatności, którego administratorzy nienawidzą najbardziej. - CVE-2026-42898 — luka w Dynamics 365 (CVSS 9.9)
Jedna z najwyżej ocenionych podatności w tym zestawie. Umożliwia zdalne wykonanie kodu poprzez manipulowanie danymi sesji.
Co ciekawe, Microsoft po raz pierwszy oficjalnie pochwalił się swoim nowym środowiskiem skanującym opartym na AI o nazwie MDASH. Według firmy sztuczna inteligencja pomogła wykryć szesnaście podatności z obecnego Patch Tuesday i to bardzo wyraźnie pokazuje, dokąd zmierza dziś cyberbezpieczeństwo. AI nie służy już wyłącznie do generowania obrazków i podsumowań maili. Coraz częściej staje się narzędziem do automatycznego analizowania gigantycznych baz kodu i wyszukiwania błędów, które człowiek mógłby przeoczyć przez lata. Microsoft sam przyznaje, że przez takie systemy kolejne aktualizacje bezpieczeństwa mogą być coraz większe.
Niestety, jednocześnie AI jest również aktywnie wykorzystywane przez cyberprzestępców. Przykładem jest wykryty po raz pierwszy exploit zero-day, o którym pisałam wam ostatnio. Sztuczna inteligencja może pomagać, ale może też szkodzić. Wkrótce zapewne wejdziemy w etap, w którym to AI będzie walczyło z AI.
Oprócz tego poprawki objęły też:
- jądro systemu Windows (Kernel),
- komponenty TCP/IP,
- Pulpit zdalny,
- usługi Copilot,
- .NET,
- wtyczki SSO dla Jira i Confluence,
- elementy infrastruktury Azure.
W tym samym czasie własne aktualizacje wydało również Adobe, łatając dodatkowe 52 luki bezpieczeństwa w swoich produktach.
Większe łatki oznaczają też większe ryzyko problemów
Jak wspomniałam wcześniej, jest jednak druga strona medalu. Tak ogromne pakiety aktualizacji zawsze zwiększają ryzyko tzw. regresji, czyli sytuacji, w której poprawka bezpieczeństwa przypadkiem psuje coś innego. Niestety historia Windowsa zna już wiele takich przypadków. Niedziałające drukarki, problemy z VPN-ami, dziwne błędy sterowników czy konflikty z oprogramowaniem firm trzecich to praktycznie stały element większych aktualizacji Microsoftu.
Czytaj też: Meta chce, żeby AI robiło zakupy za mnie. Dziękuję, nie skorzystam
Mimo to w tym przypadku ryzyko pozostania przy starej wersji systemu wydaje się po prostu większe niż potencjalne problemy po aktualizacji. Zwłaszcza gdy mówimy o luce w Wordzie niewymagającej nawet otwierania dokumentu czy błędach umożliwiających zdalne wykonanie kodu.
Źródło: Microsoft
