Microsoft va publicar el seu Patch Tuesday de maig de 2026 el dia 12 amb pedaços per a unes 120 vulnerabilitats. Si es compten els avisos de productes adjacents, la xifra puja fins als 137 CVE. D’aquest total, 17 errors estan classificats com a crítics.
El que distingeix aquest butlletí no és el volum, que està dins del que és habitual, sinó el que hi falta: cap zero-day. És el primer Patch Tuesday sense cap vulnerabilitat explotada o divulgada públicament abans del pedaç des del juny de 2024. Gairebé dos anys seguits amb almenys un error actiu cada mes van convertir aquesta excepció en notícia.
Què entra en aquest lot
El gruix dels 17 crítics són execucions remotes de codi. Entre els que mereixen més vigilància hi ha diverses vulnerabilitats al Microsoft Word que es poden disparar a través del tauler de previsualització de l’Explorador i l’Outlook, cosa que vol dir que n’hi ha prou que l’arxiu maliciós es renderitzi sense obrir-lo del tot. Microsoft va marcar algunes d’aquestes com a “Exploitation More Likely”, la seva etiqueta per als errors amb més probabilitat d’acabar explotats.
També hi ha un RCE al subsistema gràfic GDI que s’activa en obrir un arxiu Enhanced Metafile (EMF) manipulat amb el Microsoft Paint, i un altre al client DNS de Windows que un servidor controlat per l’atacant podria aprofitar enviant una resposta DNS preparada. Cap dels dos requereix autenticació prèvia en els pitjors escenaris, fet que en puja la prioritat.
Per a entorns de servidor, aquest mateix butlletí inclou la correcció d’un desbordament de buffer al servei Netlogon que afecta controladors de domini. En el moment del llançament no constava explotació, però el panorama va canviar poques setmanes després.
Per què no relaxar-se malgrat l’absència de zero-days
“Sense zero-days” descriu la foto del dia del pedaç, no el que passa després. L’error de Netlogon corregit aquí (CVE-2026-41089) va passar a estar explotat activament contra controladors de domini el 29 de maig, segons va confirmar el Centre de Ciberseguretat de Bèlgica. Un pedaç que el 12 de maig semblava rutinari es va convertir en urgent en qüestió de dies.
Això és el normal amb els butlletins mensuals: els atacants comparen el binari pedaçat amb l’anterior per reconstruir l’error i muntar un exploit. Com més temps deixis sense aplicar l’actualització, més marge tenen. L’absència de zero-days el dia del llançament és un respir, no una invitació a ajornar.
Què cal fer
Aplica les actualitzacions de maig com més aviat millor en estacions de treball i servidors. Si gestiones controladors de domini, prioritza Netlogon: l’elevació a SYSTEM i el control del domini Active Directory estan en joc. En equips d’usuari, els errors de Word i GDI es mitiguen amb el pedaç, però convé recordar a la plantilla que no obri adjunts d’origen dubtós, ja que el tauler de previsualització pot actuar com a vector fins i tot sense obrir el document.
Si administres flotes amb WSUS, Intune o eines equivalents, revisa que els anells de desplegament no estiguin deixant fora els equips crítics. I comprova la llista completa al portal d’actualitzacions de Microsoft, perquè alguns components (Office, SharePoint) es distribueixen per canals diferents del de Windows Update.
Per a més detall sobre un dels errors més greus d’aquest mateix butlletí, tens el cas de la RCE al tauler de previsualització d’Office i, a la sèrie mensual, el Patch Tuesday de març de 2026.