Microsoftin historian suurin korjaustiistai: 200 haavaa ja kolme nollapäiväbugia

Kolme julkisesti tunnettua nollapäivähaavaa

Ratkaisevaa on, että yhdenkään näistä kolmesta nollapäivähaavoittuvuudesta ei tiedetty olleen aktiivisessa hyötykäytössä ennen korjausten julkaisua .

CVE-2026-45586 — CTFMON-oikeuksien korottaminen (GreenPlasma)

Tämä on "linkin seuraamisen" (link following) haavoittuvuus Windowsin yhteistyökäännöskehyksessä (Collaborative Translation Framework, CTFMON), joka sallii todennetun hyökkääjän korottaa oikeutensa paikallisesti käyttöjärjestelmän korkeimmalle SYSTEM-tasolle. Microsoft listasi tämän aukon ilmoittajan nimettömäksi, mutta tietoturvatutkijat yhdistivät sen nopeasti Nightmare Eclipse -nimellä tunnetun tutkijan julkistamaan "GreenPlasma"-hyökkäysohjelmaan. Tämä tutkija tunnetaan verkkokeskusteluissa joskus myös nimellä "Chaotic Eclipse". Tietovuoto oli osa kampanjaa, jolla protestoitiin Microsoftin bugipalkkio- ja haavoittuvuuksien julkaisuohjelmia vastaan .

CVE-2026-49160 — HTTP.sys-palvelunesto ("HTTP/2-pommi")

Tämä on hallitsematon resurssien kulutus -haavoittuvuus (CWE-400) HTTP/2-protokollapinossa, ja sen CVSS-pisteytys on 7.5. Todentamaton etähyökkääjä voi lähettää pienen määrän dataa, mikä pakottaa palvelimen varaamaan suhteettoman suuren määrän muistia. Manipuloimalla HTTP/2:n vuonhallinta-asetuksia hyökkääjä voi pitää muistin varattuna määräämättömän pitkään . Quang Luongin ja Codexin (Calif.io) löytämä aukko voi kaataa haavoittuvat verkkopalvelimet sekunneissa . Microsoft otti lieventävänä toimenpiteenä käyttöön uuden MaxHeadersCount-rekisteriasetuksen (dokumentoitu KB5102602), jolla rajoitetaan HTTP/2- ja HTTP/3-pyyntöjen otsikkotietoja .

CVE-2026-50507 — BitLocker-suojauksen ohitus (YellowKey)

Tämä on suojamekanismin toimintahäiriö, joka sallii todentamattoman hyökkääjän, jolla on fyysinen pääsy laitteeseen, ohittaa BitLocker-salauksen hyödyntämällä Windowsin palautusympäristöä (Windows Recovery Environment) TPM-only -asemilla. Tämä on toinen tässä kuussa korjattu Nightmare Eclipse -kampanjan hyökkäysohjelma, joka tunnetaan julkisesti nimellä "YellowKey" .

Nightmare Eclipse -kampanja

Tutkija Nightmare Eclipse käynnisti julkisesti aallon Windows-nollapäivähaavoittuvuuksia – joita kutsuttiin nimillä BlueHammer, MiniPlasma, RedSun, UnDefend, GreenPlasma ja YellowKey – protestina sille, miten Microsoft käsittelee bugipalkkioita. Vaikka Microsoftin kesäkuun päivitykset paikkasivat GreenPlasman ja YellowKeyn, kolmen muun saman kampanjan aukon (BlueHammer, RedSun ja UnDefend) raportoitiin olleen aktiivisessa hyötykäytössä kesäkuun alussa. Tämä sai Yhdysvaltojen kyberturvallisuusvirasto CISA:n lisäämään ne tunnettujen hyödynnettyjen haavoittuvuuksien luetteloonsa (Known Exploited Vulnerabilities, KEV) .

Mitä uutta Windows 11:n kumulatiivisissa päivityksissä?

Pakolliset kesäkuun päivitykset Windows 11:lle toivat mukanaan muutakin kuin tietoturvakorjauksia. Kaksi pääasiallista kumulatiivista päivitystä julkaistiin: KB5094126 versioille 25H2 (koontiversio 26200.8457) ja 24H2 (koontiversio 26100.8457) ja KB5093998 versiolle 23H2 (koontiversio 22631.7079) . Microsoft julkaisi myös pidennetyn tietoturvapäivityksen KB5094127 Windows 10:lle .

Keskeisimmät uudet ominaisuudet Windows 11:ssä ovat :

• Xbox-tila: Ominaisuus, joka tuo Xbox-konsolimaisen käyttökokemuksen suoraan tietokoneelle ja on nyt tulossa yhä useampaan laitteeseen.
• Jaettu ääni (Shared Audio): Kaksi henkilöä voi kuunnella samaa äänivirtaa yhdeltä tietokoneelta samanaikaisesti Bluetooth LE Audio -tekniikan avulla.
• Tehtävienhallinnan NPU-seuranta: Sovellus näyttää nyt NPU-suorittimen (Neural Processing Unit) käytön, sille varatun tai jaetun muistin määrän ja muita mittareita.
• Monen sovelluksen kamera (Multi-App Camera): Sallii useiden sovellusten käyttää kameravirtaa samanaikaisesti.
• Suorituskykyparannukset: Uusi matalan viiveen profiili nopeuttaa sovellusten käynnistymistä ja käyttöliittymän toimintoja, kuten Käynnistä-valikkoa, Hakua ja Toimintakeskusta.
• Asennuksen parannukset: Käyttäjät voivat nyt valita mukautetun nimen käyttäjäkansiolleen Windowsin asennuksen aikana.

Laajempi tietoturvakenttä: Adobe mukana kuviossa

Samana päivänä Adobe julkaisi 11 tietoturvatiedotetta, joilla paikattiin 123 haavoittuvuutta muun muassa Acrobat Readerista, ColdFusionista, InDesignista ja Experience Managerista. Näistä 47 arvioitiin kriittisiksi, ja ne saattoivat johtaa mielivaltaisen koodin suorittamiseen, oikeuksien korottamiseen tai palvelunestoon .

Yhteensä Microsoft ja Adobe paikkasivat 329 haavoittuvuutta 9. kesäkuuta 2026 . Laajemmassa ekosysteemissä nähtiin myös liikettä, kun Google paikkasi massiiviset 360 haavoittuvuutta Microsoft Edge/Chromium -selaimesta aiemmin samassa kuussa – nämä haavoittuvuudet jäävät normaalien korjaustiistailukujen ulkopuolelle .