Microsofts historiske Patch Tuesday: Rekordmange rettelser og et kontroversielt protesthack

De tre offentliggjorte zero-days

Ingen af de tre zero-day-sårbarheder var kendt for at være blevet aktivt udnyttet, før rettelserne blev frigivet. Det er dog værd at bemærke, at detaljer om dem allerede var offentligt tilgængelige, hvilket øgede risikoen for fremtidige angreb .

CVE-2026-45586 — CTFMON Rettighedsudvidelse (GreenPlasma)

Dette er en "link-følge"-fejl i Windows Collaborative Translation Framework (CTFMON), der giver en autentificeret angriber mulighed for at eskalere rettigheder lokalt til SYSTEM-niveau. Microsoft angav opdageren som anonym, men sikkerhedsforskere forbandt den hurtigt med "GreenPlasma"-exploitet, der blev offentliggjort af forskeren Nightmare Eclipse (også kendt som "Chaotic Eclipse" i nogle debatfora). Offentliggørelsen var en del af en kampagne for at protestere mod Microsofts bug bounty- og sårbarhedsafsløringsprogram .

CVE-2026-49160 — HTTP.skaber Denial of Service ("HTTP/2-bomben")

Dette er en sårbarhed relateret til ukontrolleret ressourceforbrug (CWE-400) i HTTP/2-protokolstakken, med en CVSS-score på 7,5. En uautoriseret fjernangriber kan sende en lille mængde data, der tvinger serveren til at allokere en uforholdsmæssig stor mængde hukommelse. Ved at manipulere med HTTP/2's flow-control-indstillinger kan en angriber holde den hukommelse bundet på ubestemt tid . Opdaget af Quang Luong og Codex fra Calif.io, kan angrebet slå berørte webservere offline i løbet af få sekunder . Microsoft introducerede en ny MaxHeadersCount-registreringsindstilling (dokumenteret i KB5102602) for at begrænse antallet af HTTP/2- og HTTP/3-anmodningsheadere som en modforholdsregel .

CVE-2026-50507 — BitLocker-omgåelse af sikkerhedsfunktion (YellowKey)

Dette er en svigt i beskyttelsesmekanismen, der tillader en uautoriseret angriber med fysisk adgang at omgå BitLocker-kryptering ved at udnytte Windows Recovery Environment på drev, der kun anvender TPM (Trusted Platform Module). Dette er det andet exploit fra Nightmare Eclipse-kampagnen, der er rettet denne måned, offentligt kendt som "YellowKey" .

Nightmare Eclipse-kampagnen

Forskeren Nightmare Eclipse lancerede offentligt en bølge af Windows zero-days – kaldet BlueHammer, MiniPlasma, RedSun, UnDefend, GreenPlasma og YellowKey – i protest mod, hvordan Microsoft håndterer sine fejlbounties og sårbarhedsrapporter. Mens Microsofts juni-rettelser adresserede GreenPlasma og YellowKey, blev tre andre fra samme kampagne (BlueHammer, RedSun og UnDefend) rapporteret som aktivt udnyttet i starten af juni, hvilket fik USA's cybersikkerhedsagentur, CISA (Cybersecurity and Infrastructure Security Agency), til at tilføje dem til deres katalog over kendte udnyttede sårbarheder . Denne usædvanlige og aggressive offentliggørelse satte fornyet fokus på forholdet mellem store softwarevirksomheder og uafhængige sikkerhedsforskere.

Hvad er nyt i de kumulative Windows 11-opdateringer?

De obligatoriske juni-opdateringer til Windows 11 leverede mere end blot sikkerhedsrettelser. To primære kumulative opdateringer blev frigivet: KB5094126 til version 25H2 og 24H2 (build 26200.8457 og 26100.8457) samt KB5093998 til version 23H2 (build 22631.7079) . Microsoft frigav også en udvidet sikkerhedsopdatering, KB5094127, til Windows 10 .

Vigtige nye funktioner i Windows 11-opdateringen inkluderer :

• Xbox-tilstand: En funktion, der giver en spiloplevelse magen til en Xbox-konsol på en pc, og som nu rulles ud til flere enheder.
• Delt Lyd: To personer kan lytte til den samme lydstrøm fra én pc samtidigt ved hjælp af Bluetooth LE Audio.
• NPU-overvågning i Jobliste: Appen viser nu NPU-forbrug, dedikeret/delt hukommelse og andre målinger for neurale processorenheder (NPU'er).
• Multi-App Kamera: Giver flere applikationer mulighed for at tilgå en kamerastrøm på samme tid.
• Ydelsesforbedringer: En ny lav-latens-profil fremskynder appstarter og interaktioner med brugerfladeelementer som Start, Søg og Handlingscenter.
• Forbedringer i Opsætning: Brugere kan nu vælge et brugerdefineret navn til deres brugermappe under Windows-opsætningen.

Adobe og det bredere sikkerhedsbillede

På samme dag frigav Adobe 11 sikkerhedsbulletiner, der lukkede 123 sårbarheder på tværs af produkter som Acrobat Reader, ColdFusion, InDesign og Experience Manager. Heraf blev 47 vurderet som kritiske og kunne føre til vilkårlig kodeudførelse, rettighedsudvidelse eller denial-of-service-angreb .

Tilsammen skubbede Microsoft og Adobe rettelser ud til i alt 329 sårbarheder den 9. juni 2026 . Det bredere økosystem oplevede også aktivitet, da Google tidligere på måneden rettede hele 360 fejl i Microsoft Edge/Chromium – sårbarheder, der falder uden for den almindelige Patch Tuesday-opgørelse .