Microsoft resmi menggulirkan pembaruan keamanan Patch Tuesday edisi April 2026 yang mengatasi 167 kerentanan keamanan, di mana dua di antaranya merupakan kerentanan zero-day.
Pembaruan bulan ini juga secara khusus menambal delapan kerentanan berstatus “Kritis” (Critical), yang terdiri dari tujuh celah Eksekusi Kode Jarak Jauh (RCE) dan satu celah Penolakan Layanan (DoS).
Berikut adalah rincian jumlah bug di setiap kategori kerentanan:
- 93 Kerentanan Peningkatan Hak Istimewa (Elevation of Privilege)
- 21 Kerentanan Pengungkapan Informasi (Information Disclosure)
- 20 Kerentanan Eksekusi Kode Jarak Jauh (Remote Code Execution)
- 13 Kerentanan Lewati Fitur Keamanan (Security Feature Bypass)
- 10 Kerentanan Penolakan Layanan (Denial of Service)
- 9 Kerentanan Spoofing
Perlu dicatat bahwa jumlah kerentanan ini hanya mencakup celah yang dirilis oleh Microsoft pada hari ini. Angka tersebut tidak termasuk bug pada Mariner, Azure, dan Bing yang telah diperbaiki Microsoft awal bulan ini, maupun 80 kerentanan Microsoft Edge/Chromium yang telah ditambal oleh Google.
Dua Kerentanan Zero-Day dan Celah Microsoft Office
Pembaruan Patch Tuesday bulan ini memperbaiki dua kerentanan zero-day; satu telah diungkapkan ke publik secara luas, dan satu lagi sedang dieksploitasi secara aktif dalam berbagai serangan siber.
1. CVE-2026-32201 – Kerentanan Spoofing Server Microsoft SharePoint (Dieksploitasi Aktif) Microsoft telah menambal kerentanan spoofing pada Microsoft SharePoint Server yang terdeteksi disalahgunakan dalam serangan.
“Validasi input yang tidak tepat di Microsoft Office SharePoint memungkinkan penyerang yang tidak sah untuk melakukan spoofing melalui jaringan,” jelas Microsoft. Penyerang yang berhasil mengeksploitasi kerentanan ini dapat melihat sejumlah informasi sensitif (Kerahasiaan) dan membuat perubahan pada informasi yang diungkapkan (Integritas), meskipun mereka tidak dapat membatasi akses ke sumber daya (Ketersediaan).
2. CVE-2026-33825 – Kerentanan Peningkatan Hak Istimewa Microsoft Defender (Diungkap ke Publik) Microsoft menambal cacat peningkatan hak istimewa pada Microsoft Defender yang dapat memberikan hak akses tingkat SYSTEM kepada peretas. Perusahaan telah mengatasi kelemahan ini pada pembaruan Platform Antimalware Microsoft Defender versi 4.18.26030.3011, yang akan diunduh secara otomatis ke sistem pengguna. (Kredit penemuan: Zen Dodd dan Yuanpei XU dari HUST).
Selain celah zero-day di atas, Microsoft juga memperbaiki beberapa bug Eksekusi Kode Jarak Jauh (RCE) pada Microsoft Office (Word dan Excel). Kerentanan ini sangat berbahaya karena dapat dieksekusi hanya melalui panel pratinjau (preview pane) atau dengan membuka dokumen berbahaya. Pengguna sangat disarankan untuk memprioritaskan pembaruan Microsoft Office sesegera mungkin, terutama jika sering menerima lampiran file eksternal.
Pembaruan Keamanan dari Vendor Lain
April 2026 menjadi bulan yang sibuk bagi komunitas keamanan siber. Selain Microsoft, beberapa vendor teknologi besar lainnya juga merilis pembaruan atau imbauan keamanan penting bulan ini:
- Adobe: Merilis pembaruan untuk Illustrator, Reader, Acrobat, Photoshop, dan produk lainnya, termasuk patch untuk zero-day Reader/Acrobat yang dieksploitasi aktif.
- Apache: Memperbaiki kerentanan RCE pada Apache ActiveMQ Classic yang tidak terdeteksi selama 13 tahun.
- Apple: Memungkinkan lebih banyak perangkat iPhone yang masih menjalankan iOS 18 untuk menerima pembaruan keamanan yang melindungi dari kit eksploitasi DarkSword.
- Cisco: Merilis pembaruan untuk banyak produk, termasuk perbaikan bypass autentikasi Integrated Management Controller (IMC) yang memungkinkan penyerang mendapatkan akses Admin.
- Fortinet: Menambal kerentanan kritis FortiClient Enterprise Management Server (EMS), CVE-2026-35616, yang sedang dieksploitasi secara aktif.
- Google: Merilis buletin keamanan Android April dan memperbaiki zero-day Google Chrome yang dieksploitasi dalam serangan.
- Lainnya: Pembaruan penting juga dirilis oleh SAP, Marimo, pengelola pustaka wolfSSL, hingga mitigasi untuk serangan rowhammer GPUBreach baru yang dapat merusak sistem secara penuh.
(Catatan: Rincian tabel spesifik untuk lebih dari 100+ CVE dapat diakses melalui laporan penuh atau buletin keamanan resmi dari portal pembaruan Microsoft).