Kancelář
Obsah
Microsoft Opravuje 120 Zranitelností v Aktualizaci za Květen 2026
Klíčové Body Bezpečnostního Balíčku za Květen
Složitost Při Nasazení Aktualizací ve Firmách
Porovnání s Nedávnými Cykly Aktualizací
Přehled Zranitelností za Květen 2026
Žádné Zero-Day v Květni: Vzácný Jev
Zranitelnosti Office: Trvalý Problém
Rizika na Úrovni Infrastruktury
Obavy Ohledně SharePoint a Hyper-V
Operační Dopady Aktualizace za Květen 2026
Microsoft Květen 2026 Patch Tuesday Opravuje 120 Chyb, Žádné Zero-Day
Čas: May, 13, 2026

Microsoft opravuje 120 zranitelností v aktualizaci z května 2026

12. května společnost Microsoft vydala opravy pro 120 zranitelností, přičemž žádná z nich nebyla označena jako zero-day. Obránci podnikových sítí však stále musí řešit širokou škálu rizik, včetně těch, která ovlivňují zpracování dokumentů, infrastrukturu identity, platformy pro spolupráci, virtualizační prostředí a standardní síťování Windows.

Klíčové body květnového balíčku zabezpečení

Květnová aktualizace Patch Tuesday zahrnovala 17 kritických zranitelností, z nichž 14 byly chyby vzdáleného spuštění kódu (RCE). Organizace musí rychle jednat, aby posoudily a nasadily tyto aktualizace do svých systémů. Správci oprav čelí zásadní výzvě: určit, které obchodní systémy mohou zvládnout první vlnu aktualizací, aniž by došlo k výpadkům jinde.

Komplexnost podnikového patchingu

Týmy pro podnikové opravy čelí mnohostrannému „problému pořadí oprav“, protože aktualizace tohoto měsíce se týkají různých systémů, včetně:

  • koncových bodů Office
  • řadičů domény
  • systémů Windows závislých na DNS
  • nasazení SharePointu
  • hostitelů Hyper-V

Každý z těchto systémů často spravují různé týmy s odlišnými harmonogramy oprav, postupy pro návrat zpět a údržbovými okny. I když jedna vydaná aktualizace Microsoftu pokrývá všechny tyto oblasti, koordinace oprav zůstává provozní výzvou.

Srovnání s nedávnými cykly oprav

V předchozích měsících:

  • V únoru bylo řešeno šest aktivních zero-days.
  • V dubnu bylo zahrnuto 167 zranitelností, včetně dvou zero-days.

Ačkoli květen 2026 postrádá zveřejněné zero-days, neznamená to menší pracovní zatížení pro obránce. Každá nedávná aktualizace vyžadovala kompromisy mezi rychlostí nouzového nasazení, rizikem výpadků a dobou ověření u kritických systémů, což přispívá k celkové prioritizační zátěži.

Rozpis zranitelností v květnu 2026

Květnové vydání Microsoftu zahrnovalo následující:

  • 31 zranitelností vzdáleného spuštění kódu (RCE)
  • 61 chyb zvýšení oprávnění (EoP)
  • 14 chyb úniku informací
  • 8 zranitelností odmítnutí služby (DoS)
  • 6 problémů s obcházením bezpečnostních funkcí
  • 13 zranitelností spoofingu

Mezi těmito zranitelnostmi zůstávají chyby RCE prioritou, protože umožňují útočníkům spouštět libovolný kód, zatímco zranitelnosti EoP přidávají provozní složitost zasažením oprávnění, hranic administrátora a přechodů mezi uživatelem a systémem. Bezpečnostní týmy musí tyto zranitelnosti ověřit a vyřešit před přechodem z pilotního testování na široké nasazení.

Žádné zero-days v květnu: Vzácný jev

Květen 2026 je první měsíční aktualizací zabezpečení Microsoftu za téměř dva roky bez jakýchkoli zneužitých nebo veřejně zveřejněných zero-day zranitelností. Za posledních 22 měsíců Microsoft v průměru zaznamenával 3,5 zero-days za měsíc, což činí tento měsíc klidnějším, ale ne nutně lehčím z hlediska nápravných opatření.

Zranitelnosti Office: Trvalé riziko

Navzdory absenci zero-days zůstávají zranitelnosti související s Office hlavním zaměřením. Společnost Microsoft řešila chyby v Office, Wordu a Excelu, které by mohly vést k RCE, přičemž některé byly spojeny s riziky z náhledu dokumentů. Vzhledem k tomu, že zaměstnanci často prohlížejí dokumenty, jako jsou faktury, životopisy a sdílené soubory, tyto zranitelnosti vyžadují širší úsilí o opravy nad rámec aktualizací jednotlivých aplikací.

Navíc květnová aktualizace zahrnuje CVE-2026-35421, zranitelnost v programu Malování, kde otevření škodlivého souboru Enhanced Metafile by mohlo umožnit spuštění kódu. Týmy pro koncové body musí také prioritizovat opravy, jako jsou CVE-2026-40367, CVE-2026-40366 a CVE-2026-40364, které ovlivňují notebooky, sdílené pracovní stanice a virtuální desktopy.

Rizika na infrastrukturní úrovni

Řada zranitelností v květnové aktualizaci představuje významná rizika pro podnikovou infrastrukturu:

  • CVE-2026-41096: Zranitelnost přetečení zásobníku na haldě v DNS klientovi Windows s hodnocením CVSS 9.8. Tato chyba RCE může být zneužita vzdáleně bez autentizace nebo interakce uživatele, což ovlivňuje širokou škálu systémů Windows.
  • CVE-2026-41089: Kritický problém v Netlogonu Windows s hodnocením CVSS 9.8, který umožňuje neoprávněným útočníkům vzdáleně spustit kód na řadičích domény. Vzhledem k potenciálu selhání autentizace vyžaduje oprava řadičů domény zvýšenou opatrnost, aby nedošlo k narušení přístupu k obchodně kritickým službám.

Obavy spojené s SharePointem a Hyper-V

Zranitelnosti SharePointu zůstávají problémem pro týmy zabezpečení podniků. CVE-2026-40365 vystavuje servery SharePoint útokům RCE, i když vyžaduje oprávnění vlastníka webu. I když to zužuje okruh útočníků, obránci musí vyhodnotit expozici privilegovaných uživatelů, externí publikování a rozšíření spolupráce, aby minimalizovali rizika.

Ve virtualizovaných prostředích představuje CVE-2026-40402 v Hyper-V vážné riziko, které umožňuje útočníkům uniknout z hostovaného virtuálního stroje do hostujícího prostředí a získat SYSTEM oprávnění. Tento druh selhání hranic ovlivňuje více pracovních zátěží současně a vyžaduje okamžitou pozornost týmů pro virtualizaci.

Provozní dopady květnové aktualizace 2026

Květnová aktualizace tlačí týmy spravující koncové body Office, systémy Windows závislé na DNS, řadiče domény, servery SharePoint a hostitele Hyper-V směrem k jednotnému údržbovému oknu. Navzdory absenci zero-days činí rozsah a složitost zranitelností tohoto měsíce řešení provozně náročným pro podniky.

Doporučené produkty
Související článkyVíce
Pentagon Centralizuje Licence Microsoft v Dohodě s DellMicrosoft přepracovává Copilot jako tišší a koordinovanou vrstvu pracovního toku napříč Microsoft 365Microsoft Potvrzuje Klasickou Chybu Při Zobrazování Obrázků v OutlookuMicrosoft Opouští SMS Kódy ve Prospěch Přístupových KlíčůMicrosoft Zjednodušuje Přístup ke Copilot v Office AplikacíchMicrosoft spouští režim Copilot Agent v OutlookuMicrosoft duben 2026 Patch Tuesday opravuje 167 chyb, 2 zero-dayClaude pro Word přináší AI revizi právních smluv do Microsoft OfficeOffice.eu spuštěn jako evropská suverénní alternativa k Microsoft 365Satya Nadella přisuzuje zásluhy Intelu a Apple za vzestup Microsoftu
Živý chat
0