Patch Tuesday,2026年2月版
发布: (2026年2月11日 GMT+8 05:49)
3 分钟阅读
Source: Krebs on Security
图片:Patch Tuesday February 2026
零日漏洞
| CVE | 受影响的组件 | 描述 |
|---|---|---|
| CVE‑2026‑21510 | Windows Shell | 安全特性绕过:单击恶意链接即可绕过 Windows 保护,运行攻击者控制的内容,且不会出现警告或同意对话框。影响所有当前受支持的 Windows 版本。 |
| CVE‑2026‑21513 | MSHTML(默认 Windows 网页浏览器引擎) | 针对专有渲染引擎的安全绕过漏洞。 |
| CVE‑2026‑21514 | Microsoft Word | Word 中相关的安全特性绕过。 |
| CVE‑2026‑21533 | Windows Remote Desktop Services | 本地特权提升,允许攻击者获得 SYSTEM 级别访问权限。 |
| CVE‑2026‑21519 | Desktop Window Manager (DWM) | 负责在屏幕上组织窗口的组件中的特权提升缺陷。(1 月已修补了另一个 DWM 零日漏洞。) |
| CVE‑2026‑21525 | Windows Remote Access Connection Manager | 可能导致服务中断的拒绝服务漏洞,影响维护企业网络 VPN 连接的服务。 |
带外更新(1月)
- 1 月 17 日 – 修复在尝试远程桌面或远程应用程序连接时出现的凭据提示失败问题。
- 1 月 26 日 – 修补 Microsoft Office 中的零日安全特性绕过漏洞(CVE‑2026‑21509)。
AI 相关漏洞
Microsoft 还修复了多个影响 AI 辅助开发工具(如 GitHub Copilot、VS Code、Visual Studio 和 JetBrains 产品)的远程代码执行缺陷。相关 CVE 为:
- CVE‑2026‑21516
- CVE‑2026‑21523
- CVE‑2026‑21256
这些漏洞源于通过提示注入触发的命令注入问题,攻击者可以诱导 AI 代理执行恶意代码或命令。正如安全分析师 Kev Breen 所强调的,开发者是高价值目标,因为他们通常持有敏感的 API 密钥和机密信息。虽然这些缺陷的存在并不意味着组织应放弃 AI,但它凸显了以下需求:
- 明确识别与 AI 代理交互的系统和工作流。
- 采用最小特权原则,以在机密信息泄露时限制影响范围。
其他资源
- SANS Internet Storm Center – 按严重性和 CVSS 分数索引的每个修复的可点击细分。
- AskWoody – 有关测试和部署更新的实用说明。
提醒: 在应用补丁之前,请确保已进行最近的备份。