Di Balik Patch Tuesday Terbesar Microsoft: 200 Perbaikan dan 3 Zero-Day

Tiga Zero-Day yang Diungkap ke Publik

Yang krusial, tidak satu pun dari ketiga kerentanan zero-day tersebut diketahui telah dieksploitasi secara liar sebelum tambalan dirilis .

CVE-2026-45586 — Peningkatan Hak Istimewa CTFMON (GreenPlasma)

Ini adalah celah "mengikuti tautan" (link following) di Windows Collaborative Translation Framework (CTFMON) yang memungkinkan penyerang yang diautentikasi untuk meningkatkan hak istimewa secara lokal ke level SYSTEM. Microsoft mencantumkan pelapor sebagai anonim, tetapi peneliti keamanan dengan cepat menghubungkannya dengan eksploit “GreenPlasma” yang dirilis secara publik oleh peneliti Nightmare Eclipse (juga dikenal dalam diskusi komunitas sebagai “Chaotic Eclipse”). Pengungkapan ini adalah bagian dari kampanye untuk memprotes program bug bounty dan pengungkapan kerentanan Microsoft .

CVE-2026-49160 — Denial of Service HTTP.sys (“HTTP/2 Bomb”)

Ini adalah kerentanan konsumsi sumber daya tak terkendali (CWE-400) di tumpukan protokol HTTP/2, dengan skor CVSS 7,5. Penyerang jarak jauh yang tidak diautentikasi dapat mengirim sejumlah kecil data yang memaksa server untuk mengalokasikan memori dalam jumlah besar secara tidak proporsional. Dengan memanipulasi pengaturan kontrol aliran HTTP/2, penyerang dapat membiarkan memori tersebut terikat tanpa batas . Ditemukan oleh Quang Luong dan Codex dari Calif.io, serangan ini dapat menjatuhkan server web yang terpengaruh dalam hitungan detik . Microsoft memperkenalkan pengaturan registri MaxHeadersCount baru (didokumentasikan dalam KB5102602) untuk membatasi header permintaan HTTP/2 dan HTTP/3 sebagai mitigasi .

CVE-2026-50507 — Pengabaian Fitur Keamanan BitLocker (YellowKey)

Ini adalah kegagalan mekanisme perlindungan yang memungkinkan penyerang yang tidak diautentikasi dengan akses fisik untuk melewati enkripsi BitLocker dengan mengeksploitasi Lingkungan Pemulihan Windows pada drive khusus TPM. Ini adalah eksploit kedua dari kampanye Nightmare Eclipse yang diperbaiki bulan ini, yang dikenal secara publik sebagai “YellowKey” .

Kampanye Nightmare Eclipse

Peneliti Nightmare Eclipse secara publik meluncurkan gelombang zero-day Windows—diberi nama BlueHammer, MiniPlasma, RedSun, UnDefend, GreenPlasma, dan YellowKey—sebagai protes atas cara Microsoft menangani bug bounty. Sementara tambalan Microsoft bulan Juni membahas GreenPlasma dan YellowKey, tiga lainnya dari kampanye yang sama (BlueHammer, RedSun, dan UnDefend) dilaporkan aktif dieksploitasi pada awal Juni, mendorong CISA untuk menambahkannya ke dalam katalog Kerentanan yang Diketahui Tereksploitasi (Known Exploited Vulnerabilities) .

Apa yang Baru di Pembaruan Kumulatif Windows 11

Pembaruan wajib Juni untuk Windows 11 memberikan lebih dari sekadar perbaikan keamanan. Dua pembaruan kumulatif utama telah dirilis: KB5094126 untuk versi 25H2 (build 26200.8457) dan 24H2 (build 26100.8457), serta KB5093998 untuk versi 23H2 (build 22631.7079) . Microsoft juga merilis pembaruan keamanan yang diperluas, KB5094127, untuk Windows 10 .

Fitur-fitur baru utama dalam pembaruan Windows 11 meliputi :

• Xbox Mode: Fitur yang menyediakan pengalaman seperti konsol Xbox di PC, sekarang diluncurkan ke lebih banyak perangkat.
• Shared Audio: Dua orang dapat mendengarkan streaming audio yang sama dari satu PC secara bersamaan menggunakan Bluetooth LE Audio.
• Pemantauan NPU di Task Manager: Aplikasi ini sekarang menampilkan penggunaan NPU, memori khusus/bersama, dan metrik lainnya untuk unit pemrosesan neural.
• Kamera Multi-Aplikasi: Memungkinkan beberapa aplikasi untuk mengakses streaming kamera pada saat yang bersamaan.
• Peningkatan Performa: Profil latensi rendah baru mempercepat peluncuran aplikasi dan interaksi shell seperti Start, Search, dan Action Center.
• Peningkatan Setup: Pengguna sekarang dapat memilih nama kustom untuk folder pengguna mereka selama Windows Setup.

Lanskap Keamanan yang Lebih Luas: Adobe Ikut Beraksi

Pada hari yang sama, Adobe merilis 11 advisori keamanan yang menutup 123 kerentanan di seluruh produk termasuk Acrobat Reader, ColdFusion, InDesign, dan Experience Manager. Dari jumlah tersebut, 47 dinilai Kritis dan dapat menyebabkan eksekusi kode arbitrer, peningkatan hak istimewa, atau penolakan layanan .

Jika digabungkan, Microsoft dan Adobe mendorong perbaikan untuk total 329 kerentanan pada 9 Juni 2026 . Ekosistem yang lebih luas juga mengalami aksi, dengan Google yang menambal 360 celah besar di Microsoft Edge/Chromium awal bulan ini—kerentanan yang berada di luar hitungan standar Patch Tuesday .