Microsofts Rekord-Patchday: 200 Schwachstellen gestopft – darunter die berüchtigte „HTTP/2-Bombe“

Die drei öffentlich bekannten Zero-Day-Lücken

Entscheidend ist, dass keine der drei Zero-Day-Schwachstellen bekanntermaßen vor der Veröffentlichung der Patches aktiv für Angriffe genutzt wurde .

CVE-2026-45586 — CTFMON-Rechteausweitung (GreenPlasma)

Hierbei handelt es sich um eine „Link Following“-Schwachstelle im Windows Collaborative Translation Framework (CTFMON), die es einem authentifizierten Angreifer ermöglicht, lokal seine Rechte auf SYSTEM-Niveau auszuweiten. Microsoft führte den Melder als anonym, aber Sicherheitsforscher brachten die Lücke schnell mit dem „GreenPlasma“-Exploit in Verbindung, den der Forscher Nightmare Eclipse (in Community-Diskussionen auch als „Chaotic Eclipse“ bekannt) öffentlich gemacht hatte. Die Veröffentlichung war Teil einer Kampagne, um gegen Microsofts Bug-Bounty- und Schwachstellenoffenlegungsprogramme zu protestieren .

CVE-2026-49160 — HTTP.sys Denial-of-Service (Die „HTTP/2-Bombe“)

Dies ist eine Schwachstelle durch unkontrollierten Ressourcenverbrauch (CWE-400) im HTTP/2-Protokollstack mit einem CVSS-Wert von 7,5. Ein nicht authentifizierter, entfernter Angreifer kann eine kleine Datenmenge senden, die den Server zwingt, unverhältnismäßig viel Arbeitsspeicher zu reservieren. Durch die Manipulation der HTTP/2-Flusskontrolleinstellungen kann ein Angreifer diesen Speicher auf unbestimmte Zeit blockieren . Entdeckt wurde sie von Quang Luong und Codex von Calif.io. Der Angriff kann betroffene Webserver innerhalb von Sekunden lahmlegen . Microsoft führte als Gegenmaßnahme eine neue Registrierungseinstellung MaxHeadersCount ein (dokumentiert in KB5102602), um HTTP/2- und HTTP/3-Anfrage-Header zu begrenzen .

CVE-2026-50507 — BitLocker-Umgehung der Sicherheitsfunktion (YellowKey)

Hierbei handelt es sich um ein Versagen des Schutzmechanismus, das es einem nicht authentifizierten Angreifer mit physischem Zugriff ermöglicht, die BitLocker-Verschlüsselung zu umgehen, indem er die Windows-Wiederherstellungsumgebung auf Laufwerken ausnutzt, die nur mit einem TPM (Trusted Platform Module) gesichert sind. Dies ist der zweite Exploit aus der Nightmare-Eclipse-Kampagne, der in diesem Monat behoben wurde und öffentlich als „YellowKey“ bekannt ist .

Die Nightmare-Eclipse-Kampagne

Der Forscher Nightmare Eclipse veröffentlichte eine Welle von Windows-Zero-Days – mit Namen wie BlueHammer, MiniPlasma, RedSun, UnDefend, GreenPlasma und YellowKey – aus Protest gegen Microsofts Handhabung von Bug-Bounties. Während die Juni-Patches von Microsoft GreenPlasma und YellowKey behoben, wurden drei andere aus derselben Kampagne (BlueHammer, RedSun und UnDefend) Anfang Juni als aktiv ausgenutzt gemeldet, was die US-Cybersicherheitsbehörde CISA dazu veranlasste, sie in ihren Katalog bekanntermaßen ausgenutzter Schwachstellen aufzunehmen .

Neuheiten in den kumulativen Windows-11-Updates

Die obligatorischen Juni-Updates für Windows 11 brachten mehr als nur Sicherheitsfixes. Zwei primäre kumulative Updates wurden veröffentlicht: KB5094126 für die Versionen 25H2 (Build 26200.8457) und 24H2 (Build 26100.8457) sowie KB5093998 für Version 23H2 (Build 22631.7079) . Microsoft veröffentlichte zudem das erweiterte Sicherheitsupdate KB5094127 für Windows 10 .

Die wichtigsten neuen Funktionen im Windows-11-Update umfassen :

• Xbox-Modus: Eine Funktion, die ein Xbox-Konsolen-ähnliches Erlebnis auf dem PC bietet und nun für weitere Geräte ausgerollt wird.
• Geteiltes Audio (Shared Audio): Zwei Personen können gleichzeitig denselben Audiostream von einem PC aus über Bluetooth LE Audio hören.
• Task-Manager-NPU-Überwachung: Die App zeigt nun die NPU-Auslastung, dedizierten/gemeinsamen Speicher und andere Metriken für neuronale Verarbeitungseinheiten an.
• Multi-App-Kamera: Erlaubt mehreren Anwendungen den gleichzeitigen Zugriff auf einen Kamerastream.
• Leistungsverbesserungen: Ein neues Profil mit niedriger Latenz beschleunigt den Start von Apps und Shell-Interaktionen wie das Startmenü, die Suche und das Info-Center.
• Setup-Verbesserungen: Nutzer können nun während der Windows-Einrichtung einen benutzerdefinierten Namen für ihren Benutzerordner wählen.

Das große Ganze: Auch Adobe zieht mit

Am selben Tag veröffentlichte Adobe 11 Sicherheitshinweise, die 123 Schwachstellen in Produkten wie Acrobat Reader, ColdFusion, InDesign und Experience Manager stopften. 47 davon wurden als kritisch eingestuft und hätten zu beliebiger Codeausführung, Rechteausweitung oder Denial-of-Service führen können .

Zusammen haben Microsoft und Adobe am 9. Juni 2026 Fixes für insgesamt 329 Schwachstellen bereitgestellt . Das breitere Ökosystem war ebenfalls aktiv: Google patchte Anfang des Monats ganze 360 Schwachstellen in Microsoft Edge/Chromium – Lücken, die außerhalb der standardmäßigen Patch-Tuesday-Zählung liegen .