У Microsoft спокойнее Patch Tuesday — но обновление всё равно крупное#
Майский Patch Tuesday 2026 у Microsoft закрывает как минимум 118 уязвимостей в Windows и других продуктах Microsoft. Необычен не размер пакета, а то, чего в нём нет.
По данным Krebs on Security, это первый Patch Tuesday почти за два года, где Microsoft не выпустила исправления для экстренных zero-day, уже известных как эксплуатируемые. Microsoft также не пометила ни одну из исправленных в этом месяце уязвимостей как ранее раскрытую.
Для защитников это важно: они не начинают гонку с уже проигранной позиции, как часто бывает. В исходной публикации нет упоминания публичного следа эксплуатации. Нет уже «сгоревшего» бага, который заставляет срочно разбирать все доступные снаружи системы. Но «нет zero-day» не значит «можно отложить».
Microsoft оценила 16 майских уязвимостей как критические. В модели серьёзности Microsoft это может означать возможность удалённого выполнения кода или сопоставимый эффект почти без участия пользователя. Для корпоративной среды такие исправления всё равно должны идти по обычному высокоприоритетному маршруту.
На какие баги Windows смотреть в первую очередь#
В источнике выделены несколько уязвимостей Microsoft, на которые обратили внимание исследователи безопасности и аналитики патчей.
Одна из них — критическое переполнение буфера на стеке в Windows Netlogon. Krebs пишет, что эта проблема может дать атакующему права SYSTEM на контроллере домена, без каких-либо привилегий или участия пользователя и при низкой сложности атаки. Патчи доступны для версий Windows Server начиная с 2012.
Администраторам не стоит воспринимать это как обычный шум вокруг рабочих станций. Контроллеры домена находятся близко к центру Windows-идентичности. Баг на таком уровне может нести больший операционный риск, чем кажется по одной строке CVSS.
Ещё одна проблема — критическая RCE-уязвимость в реализации Windows DNS client. По сообщениям, Microsoft оценила вероятность эксплуатации как более низкую, но баг всё равно заслуживает внимания: поведение DNS client — широкая инфраструктурная поверхность. Оценка «эксплуатация менее вероятна» не обещает, что эксплуатации не будет. Это лишь расчёт риска на основе того, что известно на момент релиза.
Источник также отмечает критическую уязвимость повышения привилегий, связанную с Entra ID. Krebs описывает её как возможность для неавторизованного атакующего выдать себя за существующего пользователя, предъявив поддельные учётные данные и обойдя Entra ID. Microsoft ожидает, что эксплуатация более вероятна.
Для защитников вывод простой: май спокойнее месяца с zero-day, но несколько исправленных проблем затрагивают идентичность, доменную инфраструктуру и сетевые компоненты. В этих зонах задержка редко обходится дёшево.
AI-поиск уязвимостей меняет ритм обновлений#
Более широкий сюжет статьи Krebs — не только майский релиз Microsoft. Объёмы патчей растут сразу у нескольких крупных поставщиков.
В статье говорится, что системы искусственного интеллекта становятся эффективнее в поиске уязвимостей в коде, написанном людьми. В этом контексте упоминаются Microsoft, Apple, Mozilla, Oracle и Google; часть активности Krebs связывает с доступом к возможности под названием Project Glasswing.
Точные внутренние процессы из источника не видны. Было бы слишком смело утверждать, что любой рост числа патчей вызван AI. Но тенденцию трудно игнорировать: несколько крупных производителей ПО примерно в один период выпускают необычно большие или более быстрые обновления безопасности.
Apple, описанная как ранний участник Project Glasswing, 11 мая выпустила обновления, закрывшие как минимум 52 уязвимости. Krebs отмечает, что обычно Apple исправляет в среднем около 20 уязвимостей за одно обновление безопасности iOS, ссылаясь на Криса Гёттла из Ivanti. В том же отчёте сказано, что Apple перенесла изменения назад вплоть до iPhone 6s и iOS 15.
Mozilla — ещё более резкий пример. По данным источника, Mozilla выпустила исправления для 271 уязвимости, предположительно найденной во время оценки Glasswing. Также отмечается, что начиная с Firefox 150.0.0 Mozilla перешла на более агрессивный еженедельный цикл обновлений безопасности: Firefox 150.0.3 вышел в майский Patch Tuesday и закрыл несколько CVE.
Oracle тоже меняет темп. Последний квартальный пакет обновлений компании закрыл как минимум 450 проблем, включая более 300 исправлений для удалённо эксплуатируемых уязвимостей без аутентификации. В конце апреля Oracle объявила о переходе на ежемесячный цикл обновлений для критических проблем безопасности.
Google Chrome вписывается в ту же картину. 8 мая Google начала распространять обновления Chrome, исправляющие 127 уязвимостей безопасности; месяцем ранее их было 30, по данным источника.
Практический вывод осторожный, но ясный. Если проверка с помощью AI помогает поставщикам лучше находить скрытые баги, пользователи будут видеть более крупные пакеты патчей и более короткие циклы релизов. Для долгосрочной безопасности это хорошо. Для IT-команд это означает больше работы уже сейчас.
Больше патчей — меньше сюрпризов, если их ставить#
Здесь легко ошибиться и принять большое число исправлений за доказательство, что ПО внезапно стало хуже. Это не обязательно так.
Большее число закрытых уязвимостей может означать, что поставщик нашёл больше уже существовавших багов. Может означать, что ревью кода стало лучше. Может означать, что инструменты научились лучше подсвечивать классы дефектов, которые и раньше были в коде. Риск не появился в момент публикации бюллетеня.
Бюллетень меняет баланс. Когда патч уже есть и баг описан, атакующие могут изучить исправление, сравнить старый и новый код и попытаться воспроизвести проблему. Поэтому даже месяц без zero-day важен. Публичный релиз патча запускает гонку.
Для обычных пользователей совет простой: ставьте обновления операционной системы и браузера. Полностью перезапускайте Chrome после загрузки обновлений: Chrome может скачать обновление автоматически, но для завершения установки всё равно нужен рестарт браузера.
Администраторам Windows стоит сначала обновлять системы с наиболее чувствительными ролями:
- контроллеры домена и системы Windows Server, затронутые исправлениями, связанными с Netlogon
- системы, где поведение DNS client создаёт заметную поверхность риска
- инфраструктуру идентичности, завязанную на допущения Entra ID
- доступные из интернета Windows-активы и хосты управления
- рабочие станции, которыми пользуются привилегированные администраторы
В смешанных средах не позволяйте Microsoft Patch Tuesday забрать всё внимание. В тот же период изменения безопасности были у Apple, Mozilla, Oracle и Google. Патчи браузеров и приложений часто откладывают, потому что они кажутся менее центральными, чем обновления ОС. Это плохая привычка. Браузеры — одна из самых частых поверхностей атаки.
Чего не стоит утверждать слишком уверенно#
Этот месяц не доказывает, что AI сделает безопасность простой. Он не доказывает, что все перечисленные поставщики используют один и тот же AI-процесс одинаковым образом. И он не означает, что у атакующих нет доступа к похожим возможностям.
Более точная формулировка уже: AI-поиск уязвимостей, похоже, повышает скорость, с которой часть крупных поставщиков может находить и выпускать исправления для багов безопасности. Это меняет работу защитников. Управление патчами всё меньше похоже на один ежемесячный ритуал и всё больше — на непрерывный приём, тестирование и развёртывание обновлений.
Май 2026 — полезный пример: релиз Microsoft большой, но не хаотичный. Эксплуатируемые zero-day не упоминаются. Ранее раскрытые баги Microsoft не упоминаются. Но число критических уязвимостей всё равно значимое, а вся экосистема крупных поставщиков явно движется быстрее.
Вывод — не паника, а дисциплина. Делайте резервные копии перед крупными обновлениями. Тестируйте там, где тестирование нужно. Сначала закрывайте активы с самым высоким влиянием. Потом продолжайте. Тихий месяц всё равно остаётся месяцем патчей.