Největší Patch Tuesday v historii: Microsoft opravil 200 zranitelností včetně tří kritických zero-day

Tři veřejně odhalené zero-day zranitelnosti

Zásadní je, že žádná z těchto tří zero-day zranitelností nebyla před vydáním oprav zneužita v reálných útocích .

CVE-2026-45586 — Zvýšení oprávnění v CTFMON (GreenPlasma)

Jedná se o chybu typu "link following" ve Windows Collaborative Translation Framework (CTFMON), která umožňuje ověřenému útočníkovi lokálně zvýšit oprávnění na úroveň SYSTEM. Microsoft uvedl jako ohlašovatele anonymní osobu, ale bezpečnostní výzkumníci ji rychle spojili s exploitem „GreenPlasma“ veřejně zveřejněným výzkumníkem s přezdívkou Nightmare Eclipse (v komunitních diskusích známým také jako „Chaotic Eclipse“). Zveřejnění bylo součástí kampaně na protest proti programům odměn za chyby a zveřejňování zranitelností Microsoftu .

CVE-2026-49160 — Odmítnutí služby v HTTP.sys („HTTP/2 bomba“)

Toto je zranitelnost typu nekontrolovaná spotřeba zdrojů (CWE-400) v zásobníku protokolu HTTP/2, s CVSS skóre 7,5. Neověřený vzdálený útočník může odeslat malé množství dat, které donutí server alokovat neúměrně velké množství paměti. Manipulací s nastavením řízení toku HTTP/2 může útočník tuto paměť blokovat po neomezenou dobu . Chybu objevili Quang Luong a Codex z Calif.io a útok dokáže postižené webové servery vyřadit z provozu během několika sekund . Jako zmírnění Microsoft zavedl nové nastavení registru MaxHeadersCount (dokumentované v KB5102602), které omezuje počet hlaviček požadavků HTTP/2 a HTTP/3 .

CVE-2026-50507 — Obcházení bezpečnostní funkce BitLocker (YellowKey)

Jedná se o selhání ochranného mechanismu, které umožňuje neověřenému útočníkovi s fyzickým přístupem obejít šifrování BitLocker zneužitím Windows Recovery Environment na discích chráněných pouze pomocí TPM. Toto je druhý exploit z kampaně Nightmare Eclipse opravený tento měsíc, veřejně známý jako „YellowKey“ .

Kampaň Nightmare Eclipse

Výzkumník Nightmare Eclipse veřejně spustil vlnu Windows zero-day zranitelností – pojmenovaných BlueHammer, MiniPlasma, RedSun, UnDefend, GreenPlasma a YellowKey – na protest proti tomu, jak Microsoft řeší odměny za chyby. Zatímco červnové opravy Microsoftu řešily GreenPlasma a YellowKey, u tří dalších ze stejné kampaně (BlueHammer, RedSun a UnDefend) bylo začátkem června hlášeno aktivní zneužívání, což přimělo agenturu CISA k jejich zařazení do katalogu známých zneužívaných zranitelností .

Co je nového v kumulativních aktualizacích pro Windows 11

Povinné červnové aktualizace pro Windows 11 přinesly více než jen opravy zabezpečení. Byly vydány dvě hlavní kumulativní aktualizace: KB5094126 pro verze 25H2 (build 26200.8457) a 24H2 (build 26100.8457), a KB5093998 pro verzi 23H2 (build 22631.7079) . Microsoft také vydal rozšířenou bezpečnostní aktualizaci KB5094127 pro Windows 10 .

Mezi klíčové nové funkce v aktualizaci Windows 11 patří :

• Režim Xbox: Funkce, která na počítači poskytuje prostředí podobné konzoli Xbox, nyní dostupná na více zařízeních.
• Sdílený zvuk: Dva lidé mohou poslouchat stejný zvukový proud z jednoho počítače současně pomocí Bluetooth LE Audio.
• Monitorování NPU ve Správci úloh: Aplikace nyní zobrazuje využití NPU, dedikovanou/sdílenou paměť a další metriky pro neurální procesory.
• Fotoaparát pro více aplikací: Umožňuje více aplikacím přistupovat ke streamu z fotoaparátu současně.
• Vylepšení výkonu: Nový profil s nízkou latencí zrychluje spouštění aplikací a interakce s prvky jako Start, Hledání a Centrum akcí.
• Vylepšení instalace: Uživatelé si nyní mohou během instalace Windows zvolit vlastní název pro svou uživatelskou složku.

Širší bezpečnostní situace: Přidává se Adobe

Ve stejný den vydalo Adobe 11 bezpečnostních upozornění, která opravují 123 zranitelností napříč produkty včetně Acrobat Reader, ColdFusion, InDesign a Experience Manager. Z toho bylo 47 hodnoceno jako Kritické a mohly vést ke spuštění libovolného kódu, zvýšení oprávnění nebo odmítnutí služby .

Dohromady Microsoft a Adobe vydali 9. června 2026 opravy pro celkem 329 zranitelností . Aktivita byla vidět i v širším ekosystému, když Google začátkem měsíce opravil masivních 360 chyb v Microsoft Edge/Chromium – zranitelnosti, které nespadají do standardního počítání v rámci Patch Tuesday .