Microsoft va corregir CVE-2026-41096 al Patch Tuesday del 12 de maig de 2026, una vulnerabilitat d’execució remota de codi al client DNS de Windows que la companyia va classificar com a crítica. L’error no és al servidor DNS, sinó al component que resol noms a cada equip Windows quan consulta un servidor.
Què falla exactament
El client DNS és la peça que tradueix noms de domini a adreces IP. Cada cop que obres una web, et connectes a un recurs de xarxa o el teu equip resol un nom intern, aquest component envia una consulta i processa la resposta que rep.
El problema apareix just aquí, en el processament de la resposta. Segons la descripció de Microsoft, un servidor DNS controlat per l’atacant pot retornar una resposta especialment manipulada que el client interpreta de manera incorrecta i acaba corrompent memòria. Aquesta corrupció és el que obre la porta a executar codi al sistema afectat de manera remota.
No cal que la víctima descarregui ni obri res. N’hi ha prou que el seu equip faci una consulta DNS que acabi sent atesa, directament o indirectament, per un servidor sota control de l’atacant.
A qui afecta i per què importa
Qualsevol equip Windows que resolgui noms fent servir un servidor DNS no fiable està exposat. L’escenari més realista és el de xarxes que no controles del tot: una Wi-Fi pública, un router compromès o un entorn on algú es pugui situar al mig de la comunicació i respondre les consultes abans que el servidor legítim.
La gravetat ve del tipus de vector. Parlem d’execució de codi sense interacció de l’usuari i amb un component que està actiu a la pràctica totalitat de les instal·lacions de Windows. Tot i que en el moment del pedaç no constava explotació activa, un error de RCE en una cosa tan central té un valor evident per a qui l’encadeni amb altres tècniques.
Com protegir-te
La mitigació és directa: aplicar les actualitzacions del Patch Tuesday de maig de 2026. Microsoft va incloure la correcció en aquest lot, que va tancar uns 120 errors, 17 dels quals crítics, i que va ser el primer Patch Tuesday sense zero-days coneguts des del juny de 2024.
Si gestiones equips, prioritza el desplegament a les màquines que es connecten a xarxes no controlades: portàtils, equips de personal en mobilitat i qualsevol sistema que faci servir resoledors DNS externs. Com a mesura complementària, fer servir resoledors DNS de confiança i, on sigui possible, DNS xifrat (DoH/DoT) redueix la superfície per on un atacant podria injectar respostes, encara que no substitueix el pedaç.
Per al context complet del llançament i la resta d’errors corregits aquell mes, tens el resum a Patch Tuesday de maig 2026: Microsoft corregeix 120 errors sense zero-days.