/
Fortinet修复FortiClient EMS零日漏洞遭黑客攻击
Fortinet在周末紧急发布补丁修复FortiClient企业管理服务器关键漏洞CVE-2026-35616,该漏洞自3月31日起遭到野外攻击。这是一个访问控制缺陷,允许未认证攻击者通过恶意请求执行未授权代码,CVSS评分达9.1分。美国网络安全局已将其列入已知被利用漏洞目录,要求联邦机构周四前完成修补。安全研究人员发现约100个面向互联网的实例暴露风险。
CISA新增五个重大安全漏洞至已知被利用漏洞清单
美国网络安全和基础设施安全局周五将影响苹果、Craft CMS和Laravel Livewire的五个安全漏洞添加至已知被利用漏洞目录,要求联邦机构在2026年4月3日前完成修补。这些漏洞包括苹果WebKit和内核组件的内存损坏漏洞,以及CMS平台的代码注入漏洞,已被多个威胁组织在野外利用。
Google紧急修复Chrome两个零日漏洞避免攻击利用
谷歌发布Chrome紧急更新,修复两个已被攻击者利用的零日漏洞CVE-2026-3909和CVE-2026-3910。第一个漏洞影响图形库Skia,存在越界写入问题;第二个漏洞位于V8引擎,存在不当实现缺陷。谷歌证实这两个漏洞的利用代码已在野外传播,但未透露具体攻击细节。修复程序已包含在最新稳定版更新中,用户需重启浏览器完成安装。
微软修复.NET和SQL Server中的零日漏洞
微软最新补丁星期二更新修复了两个零日漏洞:.NET拒绝服务漏洞CVE-2026-26127和SQL Server权限提升漏洞CVE-2026-21262,CVSS评分分别为7.5和8.8。虽然微软认为利用可能性较低,但安全专家警告其潜在影响被低估。此次更新还包括8个严重漏洞,其中3个影响Office远程代码执行。专家建议组织立即应用补丁,并采取禁用预览窗格等缓解措施。
思科SD-WAN零日漏洞CVE-2026-20127自2023年起被利用获取管理员权限
思科Catalyst SD-WAN控制器和管理器中发现最高严重级别安全漏洞CVE-2026-20127,CVSS评分10.0分,自2023年起遭恶意利用。该漏洞允许未认证远程攻击者绕过身份验证获取管理员权限。澳大利亚网络安全中心发现威胁行为者UAT-8616利用此零日漏洞入侵SD-WAN系统,创建恶意对等设备加入网络管理平面。攻击者还利用CVE-2022-20775提升至root权限。CISA已将两个漏洞加入已知被利用漏洞目录,要求联邦机构24小时内修复。
苹果修复iOS、macOS等设备遭利用零日漏洞
苹果发布iOS、iPadOS、macOS等系统更新,修复一个已被利用的零日漏洞CVE-2026-20700。该漏洞存在于动态链接编辑器dyld中的内存损坏问题,攻击者可通过内存写入能力执行任意代码。谷歌威胁分析小组发现并报告了此漏洞,苹果确认该漏洞已在针对特定目标的复杂攻击中被利用。更新覆盖iPhone 11及更新机型、各代iPad Pro等多款设备。
Ivanti移动端点管理器遭遇两个零日漏洞攻击
Ivanti修复了其端点管理器移动版(EPMM)产品中两个已被利用的关键零日漏洞,延续了企业IT供应商1月份安全事件的严峻态势。这两个漏洞编号为CVE-2026-1281和CVE-2026-1340,CVSS评分均为9.8分,允许未经身份验证的远程代码执行。Ivanti表示已知少数客户的解决方案在披露时已被攻击利用。漏洞可能导致横向移动、配置更改和攻击者获得管理员权限,还可能泄露个人信息和设备位置数据。
Microsoft Office严重零日漏洞已发布修复程序
微软警告管理员一个严重的Office安全漏洞,用户仅通过打开文档就可能被攻击。该漏洞CVSS评分7.8,目前正被积极利用。漏洞源于Office仍支持旧版OLE文档格式,攻击者可绕过保护措施。Office 2021及更高版本自动修复,但需重启生效。美国网络安全局已将此漏洞列入已知被利用漏洞目录。
微软Office零日漏洞CVE-2026-21509紧急补丁发布
微软发布Office零日漏洞CVE-2026-21509的紧急补丁,该漏洞CVSS评分7.8分,可绕过安全功能。攻击者通过发送特制Office文件诱导用户打开实施攻击。Office 2021及更新版本通过服务端自动保护,需重启应用生效。Office 2016/2019用户需安装特定更新或修改注册表。美国CISA已将此漏洞列入已知被利用漏洞目录。
思科统一通信平台紧急修补零日漏洞
思科发布紧急补丁修复统一通信设备中的关键零日漏洞CVE-2026-20045,该漏洞已被野外攻击利用。漏洞影响多个产品的Web管理界面,允许未经认证的远程攻击者执行任意代码并可能提权至root。由于HTTP请求输入验证不当导致,攻击者可通过发送精心构造的HTTP请求触发漏洞。CISA已将其列入已知被利用漏洞清单,要求联邦机构限期修复。
思科修复统一通信系统关键零日漏洞CVE-2026-20045
思科发布补丁修复影响统一通信产品和Webex通话专用实例的严重零日漏洞CVE-2026-20045。该漏洞CVSS评分8.2分,允许未经身份验证的远程攻击者在受影响设备上执行任意命令并提升至root权限。漏洞源于HTTP请求中用户输入验证不当,攻击者可通过发送精心构造的HTTP请求利用此漏洞。思科已发布多个版本的修复程序,美国网络安全局已将此漏洞列入已知被利用漏洞目录。
微软2026年首次补丁星期二修复112个安全漏洞
微软在2026年首个补丁星期二发布修复程序,涵盖112个CVE漏洞,其中包括多个已被公开披露或主动利用的零日漏洞,以及8个严重级别的安全缺陷。相比2025年12月仅修复56个漏洞,此次修复数量大幅增加。重点漏洞包括CVE-2026-20805信息泄露漏洞,已被观察到在野外利用;CVE-2026-21265安全启动证书到期绕过漏洞;以及影响VBS安全边界的严重权限提升漏洞,可能允许攻击者绕过高级防护机制。
6月补丁星期二为安全防护人员带来轻松负担
微软于6月10日按计划发布补丁更新,本次更新只涉及约70处安全缺陷和两起零日漏洞,重点解决WebDAV远程代码执行和SMB客户端权限提升问题,提醒企业及时修补。
京公网安备 11010802021500号
