Microsoft Patch Tuesday Mei 2026: 120 Celah Keamanan Ditambal, Tanpa Zero-Day

Bulan Mei 2026 menjadi waktu yang cukup sibuk bagi para administrator IT. Microsoft baru saja merilis pembaruan Patch Tuesday Mei 2026 yang menambal total 120 celah keamanan. Kabar baiknya, bulan ini tidak ada zero-day (celah yang sudah dieksploitasi secara aktif sebelum patch dirilis) yang dilaporkan.

Dari 120 celah tersebut, 17 dikategorikan sebagai “Kritis”, dengan rincian mayoritas berupa eksekusi kode jarak jauh (Remote Code Execution).

Rincian Kategori Kerentanan

Secara keseluruhan, pembaruan bulan ini mencakup berbagai jenis serangan yang perlu diwaspadai:

• 61 Kerentanan Peningkatan Hak Istimewa (Elevation of Privilege)
• 31 Kerentanan Eksekusi Kode Jarak Jauh (Remote Code Execution)
• 14 Kerentanan Pengungkapan Informasi (Information Disclosure)
• 13 Kerentanan Spoofing
• 8 Kerentanan Penolakan Layanan (Denial of Service)
• 6 Kerentanan Bypass Fitur Keamanan (Security Feature Bypass)

Sorotan Kerentanan Penting

Meskipun tidak ada zero-day, beberapa celah berikut memiliki risiko tinggi dan menjadi prioritas untuk segera di-patch:

1. Kerentanan Massal di Microsoft Office (Word & Excel)

Microsoft menambal banyak celah RCE pada paket Office. Bahayanya, beberapa dari celah ini dapat dieksploitasi hanya melalui Preview Pane di Outlook. Artinya, pengguna tidak perlu membuka file secara penuh untuk menjadi korban; cukup dengan melihat pratinjau lampiran berbahaya, penyerang bisa menjalankan kode dari jarak jauh.

2. CVE-2026-35421 – Windows GDI RCE

Celah ini memungkinkan penyerang menjalankan kode berbahaya jika pengguna membuka file Enhanced Metafile (EMF) yang dimodifikasi menggunakan Microsoft Paint.

3. CVE-2026-40365 – Microsoft SharePoint Server RCE

Seorang penyerang yang telah terautentikasi dapat melakukan serangan berbasis jaringan untuk mengeksekusi kode secara jarak jauh pada server SharePoint.

4. CVE-2026-41096 – Windows DNS Client RCE

Celah kritis ini memungkinkan server DNS yang dikendalikan penyerang untuk mengirim respons DNS yang telah dimodifikasi. Hal ini menyebabkan klien DNS Windows salah memproses data dan merusak memori, yang berujung pada eksekusi kode jarak jauh.

Pembaruan dari Vendor Lain

Selain Microsoft, sejumlah perusahaan teknologi besar juga merilis pembaruan keamanan di bulan Mei 2026:

• Adobe: Menambal After Effects, Premiere Pro, dan Commerce.
• Apple: Pembaruan untuk macOS, iOS, dan visionOS.
• AMD: Memperbaiki celah peningkatan hak istimewa pada cache operasi CPU berbasis Zen 2.
• Ivanti: Memperbaiki celah RCE pada Endpoint Manager Mobile yang sempat dieksploitasi dalam serangan zero-day.
• Palo Alto Networks: Memberikan mitigasi untuk celah kritis pada PAN-OS User-ID Authentication Portal.

Langkah Mitigasi

Bagi Anda yang mengelola server atau menggunakan Windows untuk operasional harian, sangat disarankan untuk:

1. Segera menjalankan Windows Update dan memastikan semua patch terinstal.
2. Melakukan pembaruan pada aplikasi Microsoft Office secara terpisah jika tidak terintegrasi dengan Windows Update.
3. Berhati-hati saat menerima lampiran file dari sumber yang tidak dikenal, terutama file EMF atau dokumen Office.