Microsoft julkaisi tiistaina korjaukset 138 tietoturva-aukkoon tuotevalikoimassaan, joista 30 luokiteltiin kriittisiksi. Korjauksissa ei ole yhtään julkisesti tunnettua tai aktiivisessa hyväksikäytössä olevaa haavoittuvuutta. Suurin osa vioista (61 kappaletta) mahdollistaa käyttöoikeuksien laajentamisen.
Microsoft toimitti toukokuun 2026 Patch Tuesday -päivityksessä korjaukset yhteensä 138 tietoturva-aukkoon eri tuotteissaan. Vakavuusluokitukseltaan 30 haavoittuvuutta on kriittisiä, 104 tärkeitä, kolme kohtalaisia ja yksi vähäistä tasoa. Positiivista on, että mikään vioista ei ole vielä julkisesti tunnettu tai aktiivisessa hyväksikäytössä.
Suurin yksittäinen uhkatyyppi on käyttöoikeuksien luvaton laajentaminen, johon liittyy peräti 61 haavoittuvuutta. Tämä tarkoittaa, että hyökkääjä voi mahdollisesti nostaa käyttöoikeuksiaan järjestelmässä ja päästä käsiksi arkaluontoisiin resursseihin tai suorittaa toimintoja, joihin hänellä ei pitäisi olla oikeutta.
Korjauspaketissa on mukana erityisen huomionarvoisia DNS-palvelimen ja Netlogon-palvelun etäkoodin suorittamisen (RCE) mahdollistavia vikoja. Nämä ovat erityisen vakavia Active Directory -ympäristöissä, sillä ne voivat antaa hyökkääjälle mahdollisuuden suorittaa koodia etänä domain controller -palvelimissa.
IT-ammattilaiset ja järjestelmänvalvojat voivat asentaa päivitykset normaalin Windows Update -prosessin kautta tai WSUS-palvelimen välityksellä. Kriittisten haavoittuvuuksien vuoksi päivitysten asentamista tulisi harkita kiireellisesti, erityisesti yrityskäytössä olevissa järjestelmissä.
Tärkeimmät pointit
- Yhteensä 138 korjausta: 30 kriittistä, 104 tärkeää, 3 kohtalaista, 1 vähäinen
- 61 haavoittuvuutta mahdollistaa käyttöoikeuksien laajentamisen
- DNS-palvelin ja Netlogon RCE-haavoittuvuudet mukana korjauksissa
- Ei yhtään julkisesti tunnettua tai aktiivisessa hyväksikäytössä olevaa vikaa
- Patch Tuesday -päivitys saatavilla Windows Update -palvelun kautta
- Erityistä huomiota Active Directory -ympäristöjen turvallisuuteen
Lähde: The Hacker News — alkuperäinen artikkeli julkaistu 13.5.2026
