Microsoft Defender零時差漏洞CVE-2026-41091與CVE-2026-45498遭利用PoC早於修補
微軟在2026年5月修補兩個Microsoft Defender零時差漏洞,研究員Chaotic Eclipse的PoC早於官方公告約一個月公開,CISA已列入KEV。
漏洞詳情
| CVE | 類型 | CVSS | 別名 |
|---|---|---|---|
| CVE-2026-41091 | 本機提權(LPE) | 7.8 | RedSun |
| CVE-2026-45498 | 阻斷服務(DoS) | 4.0 | UnDefend |
- 影響版本:Defender Antimalware Platform 1.1.26030.3008以前
- 研究員Chaotic Eclipse在4月初已公布PoC(早於官方修補約一個月)
- Microsoft MVP Fabian Bader確認PoC與CVE的對應關係
修補狀態
- CISA已列入KEV(已知遭利用漏洞清單)
- 聯邦機構須於2026年6月3日前完成修補
- 同批KEV另含5個超過16年的老漏洞(CVE-2008-4250等)
意義
此事件顯示PoC揭露先於官方修補的安全風險,以及漏洞通報流程的張力。