一、漏洞概要
2026 年 4 月 15 日(北京时间),微软发布了 2026 年 4 月安全更新,共发布了 247 个 CVE 的补丁程序,比上月增多了 154 个。在漏洞安全等级方面,存在 10 个标记等级为“Critical”的漏洞,187 个漏洞被标记为“Important/High”等级的漏洞; 在漏洞类型方面,主要有 62 个远程代码执行漏洞,93 个权限提升漏洞以及 25 个信息泄露漏洞。
二、漏洞数据分析
2.1 2026 年漏洞数量趋势
图 1 近一年微软补丁漏洞修复情况
l 总体上来看,微软本月发布的补丁数量为247 个,有 10 个 Critical漏洞补丁。
l 千里目安全技术中心在综合考虑往年微软公布漏洞数量的数据统计和今年的特殊情况,初步估计微软在今年五月份公布的漏洞数将比今年四月份少。漏洞数量将会维持在 100 个左右。
2.2 历史微软补丁日4 月漏洞对比
2023-2026 年,4 月份的漏洞数趋势如下图:
图 2 微软近年 4 月 Windows 补丁漏洞数量对比
2023-2026 年,4 月份的漏洞危险等级趋势和数量如下图:
图 3 微软近年 4 月漏洞危险等级对比
2023-2026 年,4 月份的漏洞各个类型数量对比如下图:
图 4 微软近年 4 月漏洞类型对比
数据来源:根据微软官方安全更新通告中的数据统计
从漏洞数量来看,今年相较去年增多。微软在 2026 年 4 月份爆发的漏洞相较于去年增多。本月出现了247 个漏洞补丁,并且有 10个 Critical 类型的漏洞补丁。
l 从漏洞的危险等级来看,相较去年“Critical ”等级的漏洞数量减少,“Important/High ”等级的漏洞数量增多。本月出现了 10 个“Critical ”等级的漏洞,相较去年减少了约 9%;本月出现了 187个“Important/High ”等级的漏洞,相较去年增多了约 67%。
l 从漏洞类型来看,RCE 类型的漏洞数量增多,DoS 类型的漏洞数量减少,EoP 类型的漏洞数量增多,需要引起高度重视,尤其是RCE 漏洞在配合社工手段的前提下,甚至可以直接接管整个局域网并进行进一步扩展攻击。
三、重要漏洞分析
3.1 漏洞分析
Microsoft SharePoint Server 欺骗漏洞 CVE-2026-32201
Microsoft SharePoint Server 是微软推出的企业级协作与内容管理平台,为企业提供文档管理、协作站点、搜索服务、工作流与权限管理等核心服务,广泛应用于各类企业门户、文档中心与业务流程平台,负责处理非结构化与结构化内容、保障协作效率与访问安全。
其中存在欺骗漏洞,攻击者可以利用该漏洞在网络上实施欺骗攻击,可能诱导用户访问恶意站点或泄露敏感信息。经过评估,该漏洞已被发现用于实际攻击,危害较大,我们建议用户及时更新微软安全补丁。
Microsoft Defender 权限提升漏洞 CVE-2026-33825
Microsoft Defender 是微软推出的终端安全防护系统,为企业提供恶意软件防护、实时检测、漏洞管理、攻击面减少与权限管理等核心安全服务,广泛应用于各类 Windows 业务系统、服务器与云工作负载,负责检测与阻断威胁、保障系统完整性与访问安全。
其中存在权限提升漏洞,攻击者可以利用该漏洞在目标系统获取更高权限。经过评估,该漏洞危害较大,我们建议用户及时更新微软安全补丁。
3.2 影响范围
漏洞名称、CVE 编号 | 受影响版本 |
Microsoft SharePoint Server欺骗漏洞 CVE-2026-32201 | Microsoft SharePoint Server Subscription Edition Microsoft SharePoint Server 2019 Microsoft SharePoint Enterprise Server 2016 |
Microsoft Defender 权限提升漏洞CVE-2026-33825 |
Microsoft Defender Antimalware Platform |
四、解决方案
4.1 官方修复建议
微软官方已更新受影响软件的安全补丁,用户可根据不同系统版本下载安装对应的安全补丁,安全更新链接如下:
1、https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32201
2、https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33825
一审:权永云
二审:杨贵良
三审:吴长虹
滇公网安备 53262102000232号 访问量:
