Microsoft a închis 120 de vulnerabilități în Windows și Office: actualizarea de mai vine fără zero-day, dar cu multe riscuri critice
' fill='%23FBBC05' d='M0 37V11l17 13z'/%3e%3cpath clip-path='url(%23b)' fill='%23EA4335' d='M0 11l17 13 7-6.1L48 14V0H0z'/%3e%3cpath clip-path='url(%23b)' fill='%2334A853' d='M0 37l30-23 7.9 1L48 0v48H0z'/%3e%3cpath clip-path='url(%23b)' fill='%234285F4' d='M48 48L17 24l-4-3 35-10z'/%3e%3c/svg%3e){kind=small}
:format(webp)/https://playtech.ro/wp-content/uploads/2026/05/file-explorer-lent-microsoft-windows-11.jpg)
Microsoft a publicat marți, 12 mai 2026, pachetul lunar de securitate Patch Tuesday, iar actualizarea este una consistentă: 120 de vulnerabilități au fost remediate în Windows, Office, SharePoint, Dynamics 365, Visual Studio Code, Azure și alte produse din ecosistemul companiei. Partea bună este că, de această dată, Microsoft nu a raportat nicio vulnerabilitate de tip zero-day, adică nicio breșă cunoscută public sau exploatată activ înainte de apariția patch-ului.
Totuși, lipsa unui zero-day nu înseamnă că actualizarea poate fi ignorată. Dintre cele 120 de probleme remediate, 17 sunt clasificate drept critice, iar cele mai multe dintre acestea permit executarea de cod de la distanță. Cu alte cuvinte, atacatorii ar putea rula comenzi sau malware pe un sistem vulnerabil, în anumite scenarii, fără ca utilizatorul să realizeze imediat ce se întâmplă.
Office, Word și Excel sunt printre țintele importante
Unul dintre cele mai importante puncte ale actualizării din mai 2026 îl reprezintă vulnerabilitățile din Microsoft Office, Word și Excel. Mai multe dintre acestea pot permite executarea de cod de la distanță prin fișiere malițioase, ceea ce face ca riscul să fie foarte practic, nu doar teoretic. Un utilizator poate primi un document aparent obișnuit pe e-mail, îl poate deschide sau chiar îl poate previzualiza, iar atacul poate începe de acolo.
Faptul că unele vulnerabilități pot fi exploatate prin panoul de previzualizare este un detaliu important. În multe organizații, angajații verifică rapid atașamentele direct din clientul de e-mail, fără să le deschidă complet. Dacă sistemul nu este actualizat, chiar și această interacțiune aparent inofensivă poate deveni periculoasă.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1748332487/180ef5009ca096edb0d285fa46ba6256-t.jpg)
Actualizarea este cu atât mai importantă pentru companiile care primesc frecvent facturi, contracte, formulare, CV-uri sau documente de la persoane externe. Office rămâne una dintre cele mai folosite porți de intrare pentru atacuri, tocmai pentru că utilizatorii sunt obișnuiți să deschidă fișiere primite pe e-mail. În astfel de cazuri, patch-urile nu sunt doar o recomandare IT, ci o măsură de igienă digitală esențială.
Printre vulnerabilitățile critice se numără probleme în Microsoft Office, Word, Dynamics 365 on-premises, SharePoint Server, Windows DNS Client, Windows GDI, Windows Hyper-V, Netlogon și alte componente Windows. Lista arată cât de largă este suprafața de atac, de la aplicații de birou până la servicii de server și componente de sistem.
Ce tipuri de breșe a remediat Microsoft
Din totalul vulnerabilităților remediate, cele mai multe sunt de tip elevation of privilege, adică permit unui atacator să obțină drepturi mai mari pe sistem. Au fost raportate 61 de astfel de probleme, ceea ce le face categoria dominantă a lunii. Deși aceste breșe nu sunt mereu cele mai spectaculoase, ele sunt extrem de valoroase într-un atac real, pentru că pot transforma un acces limitat într-un control mult mai serios asupra sistemului.
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Trucuri-Windows-11-microsoft-316x158.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2025/12/hacker-crypto-1-316x158.jpg)
Microsoft a remediat și 31 de vulnerabilități de executare de cod de la distanță, 14 probleme de divulgare de informații, 13 vulnerabilități de spoofing, 8 de tip denial of service și 6 care permit ocolirea unor funcții de securitate. În practică, aceste categorii acoperă o gamă largă de scenarii: de la furt de informații și blocarea unor servicii, până la păcălirea utilizatorilor sau compromiterea completă a unui sistem.
Una dintre vulnerabilitățile notabile este cea din Windows GDI, care poate fi exploatată prin deschiderea unui fișier Enhanced Metafile, inclusiv cu Microsoft Paint. Este un exemplu clasic de risc ascuns într-un fișier aparent banal. O altă problemă importantă afectează Microsoft SharePoint Server, unde un atacator autentificat ar putea executa cod de la distanță pe server.
O vulnerabilitate critică vizează și Windows DNS Client. În acest caz, un server DNS controlat de atacator ar putea trimite un răspuns special construit către un sistem Windows vulnerabil, provocând procesarea incorectă a datelor și coruperea memoriei. În cel mai grav scenariu, atacatorul ar putea rula cod de la distanță pe sistemul afectat.
De ce actualizarea nu trebuie amânată
Chiar dacă Microsoft nu a anunțat zero-day-uri în acest Patch Tuesday, administratorii IT și utilizatorii obișnuiți nu ar trebui să trateze pachetul de mai ca pe o actualizare minoră. Numărul mare de vulnerabilități, prezența celor 17 probleme critice și riscurile legate de Office fac ca instalarea patch-urilor să fie importantă cât mai rapid.
Pentru utilizatorii de acasă, recomandarea este simplă: verifică Windows Update și instalează actualizările disponibile. Dacă folosești Microsoft Office, nu amâna update-urile, mai ales dacă primești frecvent atașamente. De asemenea, evită să deschizi documente venite din surse necunoscute și nu te baza doar pe faptul că fișierul „pare” legitim.
Pentru companii, actualizările trebuie testate și distribuite rapid, în special pe stațiile care lucrează cu documente externe, pe serverele SharePoint și pe sistemele expuse în rețele complexe. Prioritate ar trebui să aibă vulnerabilitățile critice de executare de cod de la distanță și cele care pot fi folosite în lanțuri de atac.
Actualizarea Microsoft din mai 2026 nu vine cu titlul alarmant al unui zero-day exploatat activ, dar asta nu o face lipsită de miză. Cele 120 de vulnerabilități remediate arată cât de multe puncte sensibile există într-un ecosistem software modern. Iar într-o lună fără zero-day-uri, cel mai mare risc rămâne același: să amâni patch-urile până când cineva transformă o breșă cunoscută într-un atac real.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1667480684/3d571942b27864268242a8c4c3422ef2-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737978465/c5cf25af78994e0595809e3eaa418b6e-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737972417/c27b380809f4a281ece33fcdc932cbde-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1646818613/642af41f1978ad6c1363e94ec649a4eb-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1683783849/ea7914f9be1c707cd80080dcccbfb55b-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/04/1610191967/3fd1359b1c05d4e07114601312d7e6d0-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778138107/e91b5f6cea07702af31d6fb3c9e2860e-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778137329/e8f7841586095421983a76d04380bddb-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Alocatii-iulie-2026.-Data-la-care-intra-banii-pe-card-si-cand-ajung-prin-posta.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/inteligenta-artificiala-2.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/profimedia-0556589919-scaled.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Pericol-pe-plajele-Europei.-Bacteria-care-poate-provoca-infectii-grave-se-extinde-rapid-din-cauza-temperaturilor-ridicate.webp)