Microsoft Defender零時差漏洞CVE-2026-41091與CVE-2026-45498遭利用PoC早於修補

微軟在2026年5月修補兩個Microsoft Defender零時差漏洞,研究員Chaotic Eclipse的PoC早於官方公告約一個月公開,CISA已列入KEV。

漏洞詳情

CVE類型CVSS別名
CVE-2026-41091本機提權(LPE)7.8RedSun
CVE-2026-45498阻斷服務(DoS)4.0UnDefend
  • 影響版本:Defender Antimalware Platform 1.1.26030.3008以前
  • 研究員Chaotic Eclipse在4月初已公布PoC(早於官方修補約一個月)
  • Microsoft MVP Fabian Bader確認PoC與CVE的對應關係

修補狀態

  • CISA已列入KEV(已知遭利用漏洞清單)
  • 聯邦機構須於2026年6月3日前完成修補
  • 同批KEV另含5個超過16年的老漏洞(CVE-2008-4250等)

意義

此事件顯示PoC揭露先於官方修補的安全風險,以及漏洞通報流程的張力。

來源文章

相關頁面