今天的共同主线是"补丁已存在"与"补丁已实际应用"之间的差距。两个已被利用的 Defender 漏洞迎来联邦修复截止日期,Android 修复了一个野外利用中的漏洞,一个 GitHub 后端 RCE 在大多数自托管实例上仍未修补,而一起身份泄露提醒所有人:暴露的数据会比任何单次补丁周期都更长久。
核心要点:满足两个 Microsoft Defender CVE 的 CISA KEV 截止日期,推送六月 Android 更新以关闭正被主动利用的 Framework 漏洞,如果你属于尚未修补的 88%,请针对 CVE-2026-3854 修补 GitHub Enterprise Server,并将据称的 Grindr 泄露当作凭据轮换和账户接管问题来处理,而不仅仅是一则隐私新闻。
CISA 将 CVE-2026-41091 和 CVE-2026-45498 加入其已知被利用漏洞(KEV)目录,并为联邦民事机构设定了 2026 年 6 月 3 日的修复截止日期。CVE-2026-41091(CVSS 7.8)可让攻击者获得 SYSTEM 权限,而 CVE-2026-45498(CVSS 4.0)是一个影响 Defender 的拒绝服务漏洞。KEV 列入是最明确的信号,表明利用是真实的,而非理论上的。
Google 的 2026 年 6 月 Android 更新修复了 124 个漏洞,其中包括一个高危 Framework 漏洞 CVE-2025-48595(CVSS 8.4),该漏洞正被主动利用,可在无需用户交互的情况下实现提权。无交互提权是最危险的一类,因为它消除了"不要点击链接"这一防护建议作为控制手段的作用。
由 Wiz 披露的 CVE-2026-3854 是 GitHub 内部 Git 基础设施中的一个严重远程代码执行漏洞:经过身份验证的用户只需一次 git push 即可在后端节点上运行任意命令,而这些节点可访问数百万个公共和私有仓库。GitHub.com 在报告当天即被修复,且未发现野外滥用,但在公开披露时,约 88% 的 GitHub Enterprise Server 实例仍未修补。
2026 年 6 月 3 日报告的一起数据泄露据称暴露了 Grindr 用户的密码和位置数据。即使尚未确认,暴露的凭据和精确的位置历史也具有高影响:密码会在多个服务间重复使用,而位置数据会给这一敏感用户群体带来真实的人身安全和勒索风险。
底线:今天的风险并非缺少修复,而是补丁延迟和不可逆的暴露。KEV 截止日期、移动更新和自托管后端只有在应用后才能保护你,而泄露的身份数据永远无法被收回。
保持警觉。
🗡️ KENSAI 安全团队