微软、甲骨文紧急补丁揭示网络安全深层问题

企业IT巨头微软和甲骨文发布的紧急带外修复程序，突显了更新周期和补丁管理，以及身份安全和零信任方面的问题。

微软的紧急更新KB5085516解决了本月早些时候补丁星期二推送的强制累积更新后出现的问题。

据微软称，随后发现许多用户在使用微软账户登录应用程序时遇到问题，即使设备有正常的网络连接，也会看到"无网络"错误消息。这导致无法访问多个服务和应用程序。需要注意的是，使用Entra ID的组织没有遇到这个问题。

但微软的紧急补丁发布时间距离其再次承诺软件质量、可靠性和稳定性仅几天。在最新更新前24小时发布的博客文章中，微软Windows Insider项目团队的Pavan Davuluri表示，更新应该是"可预测且易于规划的"。

Suzu Labs创始人兼CEO Michael Bell说："微软有一周的时间。他们的Windows高管在3月20日发布博客承诺改善可靠性和质量，到3月21日，他们就发布了紧急带外修复程序，修复他们自己3月安全更新引入的登录漏洞。"

"除此之外，还有针对RRAS远程代码执行缺陷和蓝牙可见性漏洞的单独热补丁。八天内三个紧急修复并不能体现可靠性时代。"

与此同时，甲骨文的补丁解决了CVE-2026-21992，这是甲骨文Fusion中间件中甲骨文身份管理器REST:WebServices组件和甲骨文Web服务管理器Web服务安全组件的远程代码执行缺陷。该漏洞CVSS评分为9.8，可被具有HTTP网络访问权限的未认证攻击者利用。

在撰写本文时，似乎还没有主动利用的报告，但之前甲骨文的高调缺陷很快就受到了攻击——去年，E-Business Suite中类似的RCE问题引起了多产的Cl0p勒索软件团伙的注意。

Bell指出，甲骨文身份管理器中另一个可能相关的预认证RCE问题CVE-2025-61757很快被添加到网络安全与基础设施安全局已知被利用漏洞列表中，因为它被证明是多么简单易于利用。他说最新的漏洞很可能遵循相同的路径。

Bell说："这比典型的9.8评分更重要的原因是目标。在身份管理平台上的代码执行意味着攻击者可以重写控制企业其余部分的访问策略，这将单个CVE转变为整个网络的持久访问。"

信任崩塌

Xcape高级安全工程师Noelle Murata表示，这两个更新说明了"对传统更新周期的信任正在崩塌"。

"当甲骨文身份管理器——企业安全的真正大脑——需要未认证RCE补丁时，这证明了我们用来构建零信任的工具往往是我们最危险的单点故障，"她说。"同时，微软需要发布安全更新只是为了停止用虚假的连接错误来欺骗用户，这突出了日益扩大的质量差距。"

Murata对安全服务要么是预装后门，要么是杀死生产力的故障这一循环感到遗憾，并呼吁行业要求不仅仅是更快更好的补丁，以真正保护用户。

"我们需要全行业转向弹性设计架构，当单个HTTP请求到达身份层时不会失败，"她说。"如果零信任意味着我们不能信任身份管理器保持安全或操作系统让我们登录，那么恭喜，行业终于实现了它的目标。"

Q&A

Q1：微软KB5085516紧急更新解决了什么问题？

A：KB5085516解决了用户在安装本月补丁星期二的强制累积更新后出现的登录问题。许多用户在使用微软账户登录应用程序时看到"无网络"错误消息，即使设备有正常连接，导致无法访问多个服务和应用程序。

Q2：甲骨文CVE-2026-21992漏洞有多严重？

A：CVE-2026-21992是甲骨文Fusion中间件身份管理器和Web服务管理器组件的远程代码执行缺陷，CVSS评分高达9.8。未认证攻击者可通过HTTP网络访问利用该漏洞，由于目标是身份管理平台，攻击者可能重写整个企业的访问策略。

Q3：这些紧急补丁说明了什么问题？

A：这些紧急补丁突显了传统更新周期信任崩塌的问题。微软在承诺改善软件可靠性后立即发布紧急修复，甲骨文身份管理器作为企业安全核心却存在严重漏洞，表明构建零信任的工具本身成为了危险的单点故障。