Biuletyn Threat Intelligence Nr 18: Majowe aktualizacje — lepsze wykrywanie podatności w erze AI

Podsumowanie

Maj 2026 przyniósł kolejne rekordowe pakiety aktualizacji bezpieczeństwa, obejmujące setki podatności w systemach Microsoft, Apple, Oracle, Mozilla oraz Google. Coraz wyraźniej widoczny staje się wpływ sztucznej inteligencji na proces wykrywania podatności. Producenci zaczynają otwarcie przyznawać, że wykorzystanie modeli AI znacząco zwiększa tempo odnajdywania błędów w kodzie. W praktyce oznacza to nie tylko gwałtowny wzrost liczby publikowanych CVE, ale również konieczność przyspieszenia procesów aktualizacji i zmiany podejścia do zarządzania poprawkami.

Microsoft Patch Tuesday

W maju Microsoft opublikował poprawki dla 137 podatności, a dodatkowo załatał kolejne 137 błędów związanych z Chromium wykorzystywanym przez Edge [1]. Po raz pierwszy od niemal dwóch lat pakiet nie zawiera aktywnie wykorzystywanych podatności zero-day ani ujawnionych publicznie przed wydaniem aktualizacji. Nie oznacza to jednak niskiego poziomu ryzyka — aż 16 luk oznaczono jako krytyczne, a wiele z nich pozwala na zdalne wykonanie kodu lub eskalację uprawnień bez interakcji użytkownika.

Na uwagę zasługuje również rosnąca liczba wykrywanych podatności. Microsoft przekroczył już w 2026 roku poziom 500 załatanych CVE. Firma przyznaje, że wpływ na ten trend ma wykorzystanie zaawansowanych modeli AI do analizy kodu i wyszukiwania błędów [2].

Opis najważniejszych podatności

CVE-2026-41089 — CVSS 9.8 — krytyczna podatność typu remote code execution w usłudze Windows Netlogon. Umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu z uprawnieniami SYSTEM na kontrolerze domeny poprzez wysłanie specjalnie spreparowanego żądania sieciowego. Nie wymaga interakcji użytkownika, a atak jest nieskomplikowany. Ze względu na rolę Netlogon w środowiskach Active Directory potencjalne skutki obejmują pełne przejęcie domeny [3].

CVE-2026-41103 — CVSS 8.8 —krytyczna podatność eskalacji uprawnień w Microsoft SSO Plugin for Jira & Confluence. Umożliwia podszycie się pod istniejącego użytkownika poprzez przedstawienie spreparowanych poświadczeń, skutecznie omijając mechanizmy Entra ID [3].

CVE-2026-41096 — CVSS 8.1 — krytyczna podatność typu umożliwiająca zdalne wykonanie kodu (RCE) w kliencie DNS Windows. Choć Microsoft ocenia prawdopodobieństwo wykorzystania jako niższe, to błędy w warstwie DNS pozostają szczególnie niebezpieczne ze względu na ich potencjalny wpływ na wiele systemów jednocześnie [3].

CVE-2026-42898 — CVSS 9.9 — krytyczna podatność w Microsoft Dynamics 365 On-premise. Uwierzytelniony atakujący może zdalnie wykonać dowolny kod bez konieczności posiadania podwyższonych uprawnień [3].

Zalecane działania

Zaleca się możliwie szybką instalację aktualizacji: dla kompilacji systemów Windows — 25H2 i 24H2: KB5089549, 23H2: 5087420. Przypominamy o braku wsparcia dla kompilacji z 2022 roku. Windows Server oraz Windows 10 w programie ESU powinny być aktualizowane zgodnie z zaleceniami producenta.

Apple łata wszystkie produkty

Apple opublikowało majowy pakiet aktualizacji bezpieczeństwa dla całego swojego ekosystemu, obejmujący m.in. iOS, iPadOS, macOS, watchOS, tvOS oraz visionOS. Poprawki dla 84 błędów dotyczą m.in. Bluetooth, FaceTime, sinika WebKit, przetwarzania multimediów oraz komponentów sieciowych [4].

Opis podatności

CVE-2026-28819 — brak CVSS — krytyczna podatność umożliwia aplikacji wykonanie dowolnego kodu z uprawnieniami jądra w komponencie Wi‑Fi.

CVE-2026-28840 — brak CVSS — krytyczna podatność w PackageKit pozwala aplikacji uzyskać uprawnienia jądra. Umożliwia to pełne przejęcie systemu po lokalnym uruchomieniu złośliwego kodu.

CVE-2026-28914 — brak CVSS — poważna podatność w mechanizmie Gatekeeper. Umożliwia uruchomienie niezweryfikowanego kodu na macOS przy użyciu złośliwego archiwum ZIP.

CVE-2026-28907 — brak CVSS — poważna podatność w WebKit. Złośliwa strona WWW może ominąć Content Security Policy (CSP), co zwiększa skuteczność ataków XSS i drive-by exploitation.

Zalecane działania

Zaleca się niezwłoczną aktualizację urządzeń Apple do najnowszych wersji systemów operacyjnych, zgodnie z udostępnionymi poprawkami. Zarazem przypominamy, że wiele błędów wykorzystywanych przez złośliwe oprogramowanie może być skutecznie eliminowanych przez Lockdown Mode. Choć wprowadza on pewne ograniczenia funkcjonalne, to zachęcamy rozważenie jego włączenia.

Wsparcie dla szyfrowanej komunikacji RCS

Apple w iOS 26.5 wprowadził obsługę szyfrowania end‑to‑end (E2E) dla wiadomości RCS, rozszerzając je na komunikację między iPhone i urządzeniami z Androidem. Funkcja jest domyślnie włączona dla nowych i istniejących konwersacji u użytkowników korzystających z kompatybilnych operatorów. Jej aktywność sygnalizuje ikona kłódki w czacie.

RCS jako nowoczesny standard dążący do zastąpienia SMS. Oferuje funkcje znane z komunikatorów, np. potwierdzenia odczytu, wskaźniki pisania, przesyłanie multimediów w wysokiej jakości.

Podatności w ekosystemie Fortinet

Fortinet opublikował majowy pakiet aktualizacji bezpieczeństwa obejmujący podatności w produktach FortiSandbox, FortiAP, FortiAnalyzer, FortiManager oraz FortiOS. Wykryte problemy dotyczą zarówno systemów analizy malware i zarządzania bezpieczeństwem, jak i infrastruktury sieci bezprzewodowych oraz warstwy kontroli ruchu sieciowego. Szczególną uwagę zwraca krytyczna podatność w FortiSandbox, umożliwiająca nieuwierzytelniony dostęp do danych.

Opis najważniejszych podatności

CVE-2026-26083 — CVSS 9.8 — krytyczna podatność typu missing authorization w FortiSandbox. Umożliwia zdalnemu, nieuwierzytelnionemu atakującemu obejście mechanizmów autoryzacji i uzyskanie dostępu do wrażliwych danych przez interfejs GUI. Podatność dotyczy również FortiSandbox Cloud oraz FortiSandbox PaaS.

CVE-2025-53844 —CVSS 8.3 — podatność typu out-of-bounds umożliwiająca destabilizację procesów FortiOS przez specjalnie spreparowany ruch CAPWAP. Dotyczy infrastrukturalnych komponentów sieciowych i może prowadzić do zakłócenia działania urządzeń brzegowych.

CVE-2025-53680 oraz CVE-2025-53870 — CVSS 6.1/6.7 — podatności typu OS command injection w FortiAP Umożliwia  uwierzytelnionemu użytkownikowi posiadającemu dostęp CLI na wykonanie dowolnych poleceń systemowych na urządzeniach FortiAP i FortiAP-W2.

Zalecane działania

Zaleca się możliwie niezwłoczną aktualizację wszystkich instancji FortiSandbox, FortiSandbox Cloud oraz FortiSandbox PaaS podatnych na CVE-2026-26083. W odniesieniu do pozostałych podatności rekomendowane jest:

• ograniczenie dostępu CLI oraz API wyłącznie do zaufanych administratorów i segmentów sieci,
• monitorowanie ruchu CAPWAP oraz nietypowych żądań API,
• przegląd uprawnień administracyjnych w FortiManager i FortiAnalyzer,
• wdrożenie aktualizacji podczas najbliższych okien serwisowych.

Majowe poprawki ponownie pokazują, że produkty Fortinet pozostają atrakcyjnym celem dla atakujących ze względu na ich centralną rolę w infrastrukturze bezpieczeństwa i zarządzaniu siecią.

Wnioski

W ostatnich miesiącach coraz wyraźniej widoczny jest wpływ sztucznej inteligencji na proces wykrywania podatności bezpieczeństwa. Producenci zaczęli publikować rekordowe liczby poprawek, a część z nich otwarcie wskazuje, że jest to bezpośredni efekt wykorzystania zaawansowanych modeli AI do analizy kodu źródłowego. Szczególną uwagę zwraca projekt „Glasswing” firmy Anthropic, w ramach którego modele AI wykorzystywane są do automatycznego odnajdywania podatności.

Oznacza to fundamentalną zmianę krajobrazu bezpieczeństwa. Dotychczas ograniczeniem była liczba analityków i czas potrzebny na ręczne badanie kodu. Obecnie AI umożliwia analizę ogromnych baz kodu w skali wcześniej nieosiągalnej. W praktyce prowadzi to do gwałtownego wzrostu liczby wykrywanych podatności — i należy zakładać, że trend ten będzie się utrzymywał.

Więcej poprawek oznacza konieczność szybszego patchowania

Rosnąca liczba publikowanych CVE nie oznacza spadku jakości oprogramowania. W dużej mierze odzwierciedla ona wzrost skuteczności wykrywania błędów. Nie zmienia to jednak faktu, że organizacje muszą przygotować się operacyjnie na znacznie większy wolumen aktualizacji.

Dobrym przykładem pozostaje Oracle, które w poprzednim Critical Patch Update (SPU) opublikowało aż 481 poprawek bezpieczeństwa, z czego ponad 300 dotyczyło podatności możliwych do zdalnego wykorzystania bez uwierzytelnienia. Co więcej, producent zdecydował o przejściu z kwartalnego na miesięczny cykl aktualizacji. Oznacza to, że tradycyjne, długie cykle testowania i wdrażania poprawek stają się coraz mniej efektywne wobec szybko zmieniającego się krajobrazu zagrożeń.

W praktyce organizacje powinny dążyć do skrócenia czasu wdrażania krytycznych poprawek. Wiązać się to może z większym automatyzowaniem procesów i nadawaniem priorytetów w testach oraz instalowaniu aktualizacji. Warto również rozwijać mechanizmy izolacji oraz odporności tam, gdzie zachodzi ryzyko opóźnienia wdrażania poprawek.

Podatności w przeglądarkach

Jednym z najbardziej widocznych trendów pozostaje dalszy wzrost znaczenia przeglądarek internetowych jako pełnoprawnego środowiska pracy i jednocześnie jednej z największych powierzchni ataku. Pisaliśmy o tym między innymi w ostatnim biuletynie.

Google w maju załatało 127 podatności w Chrome, podczas gdy miesiąc wcześniej było ich około 30. Równolegle Mozilla opublikowała Firefox 150, usuwając aż 271 podatności wykrytych podczas ewaluacji Glasswing. Następnie fundacja Mozilla przeszła na agresywny, praktycznie cotygodniowy model aktualizacji bezpieczeństwa (150.0.1, 150.0.2, 150.0.3), publikując kolejne poprawki dla kilku CVE w każdej wersji. Z tego względu organizacje powinny wdrażać wymuszanie aktualizacji przeglądarek lub skracać już istniejące okresy — na podstawie analizy ryzyka i potrzeb funkcjonalnych.