Microsoft 修补 59 个漏洞 包括六个已被主动利用的零日

微软于本周二发布安全更新，修补其软件中的 59 项漏洞，其中包括六个已在野外被利用的漏洞。

在这 59 项漏洞中，5 项被评为关键（Critical），52 项为重要（Important），2 项为中等（Moderate）严重程度。已修补的漏洞中，25 项属于权限提升，其次是远程代码执行（12 项）、欺骗（7 项）、信息泄露（6 项）、安全特性绕过（5 项）、拒绝服务（3 项）和跨站脚本（1 项）。

值得注意的是，这些补丁还包括自 2026 年 1 月 Patch Tuesday 更新发布以来，微软在 Edge 浏览器中修复的另外三项安全缺陷，其中包括影响 Android 版 Edge 浏览器的中等严重性漏洞（CVE-2026-0391，CVSS 评分 6.5），该漏洞利用“关键信息的用户界面误呈现”，可能让未授权攻击者在网络上进行欺骗。

本月更新中排名首位的是六个被标记为已被主动利用的漏洞——

• CVE-2026-21510（CVSS 评分：8.8）——Windows Shell 中的保护机制失效，使未授权攻击者能够在网络上绕过安全特性。
• CVE-2026-21513（CVSS 评分：8.8）——MSHTML 框架的保护机制失效，使未授权攻击者能够在网络上绕过安全特性。
• CVE-2026-21514（CVSS 评分：7.8）——Microsoft Office Word 在安全决策中依赖不可信输入，使未授权攻击者能够在本地绕过安全特性。
• CVE-2026-21519（CVSS 评分：7.8）——Desktop Window Manager 中使用不兼容类型（“类型混淆”）访问资源，使已授权攻击者能够在本地提升权限。
• CVE-2026-21525（CVSS 评分：6.2）——Windows 远程访问连接管理器中的空指针解引用，使未授权攻击者能够在本地导致服务拒绝。
• CVE-2026-21533（CVSS 评分：7.8）——Windows 远程桌面中的特权管理不当，使已授权攻击者能够在本地提升权限。

微软内部安全团队和 Google 威胁情报小组（GTIG）被认可为发现并报告了前述三项漏洞，这些漏洞在发布时已公开。当前尚未披露这些漏洞的具体利用方式，也不清楚它们是否在同一攻击活动中被武器化。

Jack Bicer，Action1 漏洞研究主管表示：“CVE-2026-21513 是 Microsoft MSHTML 框架中的安全特性绕过漏洞，该框架是 Windows 和多个应用程序用于渲染 HTML 内容的核心组件。它源于保护机制失效，使攻击者在用户打开恶意文件时能够绕过执行提示。经过精心构造的文件可以在不触发 Windows 安全提示的情况下，仅凭一次点击就执行危险操作。”

Tenable 高级研究工程师 Satnam Narang 表示，CVE-2026-21513 和 CVE-2026-21514 与 CVE-2026-21510 有“许多相似之处”，主要区别在于 CVE-2026-21513 还能通过 HTML 文件进行利用，而 CVE-2026-21514 只能利用 Microsoft Office 文件进行攻击。

至于 CVE-2026-21525，它与 ACROS Security 的 0patch 服务在 2025 年 12 月发现的零日漏洞有关，该服务当时正在调查同一组件的另一相关缺陷（CVE-2025-59230）。

Immersive 网络威胁研究高级总监 Kev Breen 在接受《The Hacker News》邮件采访时表示：“这些（CVE-2026-21519 和 CVE-2026-21533）是本地权限提升漏洞，这意味着攻击者必须已经取得对易受攻击主机的访问权限。攻击可能通过恶意附件、远程代码执行漏洞或从其他受损系统的横向移动实现。”

“一旦进入主机，攻击者可利用这些提升漏洞将权限提升至 SYSTEM 级别。拥有此类访问权限后，威胁行为者可能禁用安全工具、部署更多恶意软件，或在最坏情况下获取机密或凭据，导致整个域被完全控制。”

已被确认报告 CVE-2026-21533 的网络安全厂商 CrowdStrike 表示，尚未将该利用活动归因于特定对手，但指出拥有利用二进制文件的威胁行为者可能在近期加大使用或出售的力度。

CrowdStrike 反对手行动部门负责人 Adam Meyers 在邮件声明中说：“CVE-2026-21533 的利用二进制会修改服务配置键，将其替换为攻击者控制的键，这可能使对手提升权限并向管理员组添加新用户。”

此事促使美国网络安全与基础设施安全局（CISA）将全部六个漏洞纳入已知被利用漏洞（KEV）目录，要求联邦平民行政部门（FCEB）机构在 2026 年 3 月 3 日前完成修补。

此次更新还恰逢微软推出更新的安全启动（Secure Boot）证书，以取代原始的 2011 年证书，该证书将在 2026 年 6 月底到期。新证书将通过常规的每月 Windows 更新自动安装，无需额外操作。

该科技巨头表示：“如果设备在 2011 年证书到期前未收到新安全启动证书，电脑仍会正常运行，现有软件也会继续工作。但设备将进入降级的安全状态，限制其获取未来启动层级保护的能力。”

随着新的启动层级漏洞被发现，受影响的系统因无法再安装新缓解措施而日益暴露风险。随着时间推移，这还可能导致兼容性问题，因为更新的操作系统、固件、硬件或依赖安全启动的软件可能无法加载。

与此同时，公司表示正通过两项安全计划——Windows 基线安全模式和用户透明度与同意——加强 Windows 的默认防护。这些更新属于“安全未来计划”和“Windows 弹性计划”的范畴。

通过 Windows 基线安全模式，Windows 将默认启用运行时完整性保护。“这些保护确保只有经过正确签名的应用、服务和驱动程序能够运行”，从而帮助防止系统被篡改或未经授权的更改。

用户透明度与同意（User Transparency and Consent）类似于 Apple macOS 的透明度、同意与控制（TCC）框架，旨在为安全决策提供一致的处理方式。当应用尝试访问文件、摄像头、麦克风等敏感资源，或试图安装其他非预期软件时，操作系统将向用户发出提示。

Microsoft 杰出工程师 Logan Iyer 表示：“这些提示旨在清晰且可操作，用户始终可以随后审查并更改选择。应用和 AI 代理也将被要求遵循更高的透明度标准，为用户和 IT 管理员提供更好的行为可视性。”