Microsoft Defender 零時差漏洞修補與 PoC 早已公開

來源: iThome | 日期: 2026-05-22 URL: https://www.ithome.com.tw/news/176033

全文摘要

微軟修補兩個 Microsoft Defender 零時差漏洞,專家確認這些漏洞早在一個月前就有公開的概念驗證程式碼(PoC)。

漏洞詳情

CVE對應 PoC狀態
CVE-2026-41091RedSun已遭利用、已修補
CVE-2026-45498UnDefend已遭利用、已修補
CVE-2026-45584重大等級,RCE,CVSS 8.1

關鍵事實

  • 研究員 Chaotic Eclipse4月上旬公布 RedSun、UnDefend 的 PoC
  • 漏洞在微軟發布公告前就已公開,且已遭實際利用
  • Microsoft MVP Fabian Bader 於 X 平台確認兩組漏洞的對應關係
  • CISA 已將 CVE-2026-41091、CVE-2026-45498 納入 KEV 名冊,要求聯邦機構兩週內完成修補

CVE-2026-45584 額外警示

  • 類型:記憶體堆積緩衝區溢位(Heap Buffer Overflow)
  • 影響:攻擊者可遠端執行任意程式碼(RCE)
  • CVSS:8.1(重大)

衍生頁面