Toukokuun päivitysmaanantai: yli 1 000 paikkaa yhdellä iskulla – Apple, Microsoft, Mozilla
Yhden illan aikana ehti tulla niin monta korjausta, että jokaisella suomalaiskodilla on tällä viikolla kotiläksy. Selaimen, puhelimen tai tietokoneen voi päivittää viidessä minuutissa, mutta moni jättää sen tekemättä juuri silloin, kun hyökkääjät hiovat työkalujaan.
Tiivistelma
Apple, Microsoft, Google ja Mozilla julkaisivat 11.–12.5.2026 yhteensä yli tuhat tietoturvakorjausta. Suomesta ei ole raportoitu hyväksikäyttöä, mutta päivitykset kannattaa asentaa heti, sillä selainvirheet ovat hyödynnettävissä yhdellä haitalliselta sivulla.
Yli tuhat tietoturvakorjausta. Sen verran Apple, Microsoft, Google, Mozilla ja Oracle saivat yhdessä julkaistua iltana 11.–12.5.2026, kertoo tietoturvatoimittaja Brian Krebs Krebs on Security -blogissaan. Luku on poikkeuksellinen myös päivitysmaanantaiden mittakaavalla.
Microsoftin oma osuus on noin 120 CVE-tunnistetta, joista 14–16 on luokiteltu kriittisiksi. Tätä artikkelia kirjoitettaessa Microsoft kertoo, että tämä on ensimmäinen kerta lähes kahteen vuoteen, kun toukokuun Patch Tuesdayssa ei ole yhtään aktiivisesti hyödynnettyä nollapäivähaavoittuvuutta.
Pahimmat Microsoftin paikoista istuvat tunnistuspinossa. CVE-2026-41089 on Netlogonin etäkomentohaavoittuvuus, CVE-2026-41096 osuu Windowsin DNS-asiakkaaseen ja CVE-2026-41103 mahdollistaa Entra ID -tunnusten väärennyksen.
Kotikäyttäjälle nimet eivät kerro paljoa, mutta yritysten IT-tuelle nämä ovat sellaisia paikkoja, joiden takia palvelimia käynnistellään uudelleen ihan ensi yönä. Tunnistuspinon haavat eivät vaadi uhrilta yhtäkään klikkausta.
Apple paikkasi yli 50 vikaa iPhonesta
Apple julkaisi 11.5.2026 päivitykset koko laitekatraalle. iOS 26.5 ja iPadOS 26.5 paikkaavat yli 50 haavoittuvuutta, ja vanhempaa rautaa varten tuli iOS 18.7.9 sekä mallikohtaiset iOS 16.7.16 ja iOS 15.8.8 -versiot.
Mac-puolella tarjolla on macOS Tahoe 26.5, Sequoia 15.7.7 ja Sonoma 14.8.7. Lisäksi watchOS 26.5, tvOS 26.5, visionOS 26.5 ja HomePod 26.5 saivat omat korjauksensa.
Apple ei ole merkinnyt yhtäkään tämän erän haavoittuvuutta aktiivisesti hyödynnetyksi. Edellinen tällainen tapaus oli helmikuun CVE-2026-20700 dyld-komponentissa.
Vanhat iPhonet ovat tässä erityishuomion arvoinen ryhmä. Apple toi paikkoja kuusi vuotta vanhoille puhelimille, eli sille kalustolle, joka usein lojuu lasten käytössä tai varapuhelimena.
Suomalainen Mobiili.fi nosti iPhone-päivityksen sivunsa kärkeen 12.5.2026 ja kehottaa lukijoita olemaan viivyttelemättä:
– iPhone kannattaa nyt päivittää. Viimeisin päivitys korjaa yli 50 haavoittuvuutta, kirjoittaa sivusto.
Selaimet: yksi haitallinen sivu riittää
Google Chromeen on tullut viime aikoina 127 korjausta, ja tuoreimmassa stable-julkaisussa on kolme kriittistä virhettä tunnisteilla CVE-2026-7896, 7897 ja 7898. Microsoft Edge ja muut Chromium-pohjaiset selaimet perivät samat paikat omien päivitystensä yhteydessä.
Mozilla Firefox 150 on oma tarinansa. Krebs raportoi 271 haavoittuvuutta, mutta Mozillan oma MFSA 2026-30 -tiedote nimeää 41 CVE-tunnistetta. Kolme niistä on muistinhallintaan liittyviä koontikorjauksia, jotka selittävät isomman luvun, ja useat use-after-free -virheet ovat hyödynnettävissä jo yhdeltä haitalliselta verkkosivulta.
Mistä iso piikki tulee
Krebs huomauttaa, että toukokuun valtava paikkamäärä kytkeytyy tekoälyn nousuun haavoittuvuuksien etsijänä. Hän nostaa esiin Anthropicin Project Glasswing -ohjelman, jonka tuloksia on toimitettu valmistajille suoraan. Yhden raportin mukaan Mozillan 271:n piikki selittyy yhdellä Anthropicin Claude Mythos -arviointiajolla, joka löysi viat kerralla.
Onko tämä uusi normaali? Toistaiseksi sitä ei voi sanoa varmaksi, mutta seuraavat kuukaudet näyttävät, jatkuuko paikkamäärien kasvu.
Päivityspolut suomeksi
- iPhone (11 ja uudempi): Asetukset → Yleiset → Ohjelmistopäivitys → asenna iOS 26.5. iPhone 8 tai X: iOS 16.7.16. iPhone 6s, 7 tai SE 1. sukupolvi: iOS 15.8.8.
- Mac: Järjestelmäasetukset → Yleiset → Ohjelmistopäivitys → macOS Tahoe 26.5, Sequoia 15.7.7 tai Sonoma 14.8.7.
- Windows 10 ja 11: Asetukset → Windows Update → Tarkista päivitykset. Asennus vaatii uudelleenkäynnistyksen.
- Chrome ja Edge: Apua → Tietoja → käynnistä selain uudelleen.
- Firefox: Valikko → Apua → Tietoja Firefoxista → käynnistä selain uudelleen.
Voiko päivityksen jättää viikoksi odottamaan?
Ei oikeastaan kannata. Firefoxin ja Chromen virheitä voi käyttää hyväksi yhdellä haitalliselta sivulla, eikä uhri huomaa mitään. Windowsin DNS- ja Netlogon-aukot istuvat siellä, missä yritysverkkojen tunnistus tehdään, ja vaikka julkista nollapäivää ei tällä hetkellä raportoida, paikkojen takaisinmallinnus tuottaa toimivia hyökkäyksiä päivissä – ei viikoissa.
Kyberturvallisuuskeskus ei ole julkaisuhetkellä antanut erillistä haavoittuvuusvaroitusta tästä aallosta, vain tavanomaisen viikkokatsauksensa. Suomesta ei ole raportoitu hyväksikäyttöä 13.5.2026 mennessä. Hyökkäysten ilmaantuminen ulkomailta jää nähtäväksi tulevien päivien aikana, mutta siihen asti viiden minuutin asennus on todella halpa vakuutus.