Microsoft, Patch Tuesday da Record: 200 Falle Tappate e 3 Zero-Day Risolti

I Tre Zero-Day Divulgati Pubblicamente

È cruciale notare che, prima del rilascio delle patch, nessuna delle tre vulnerabilità zero-day era nota per essere stata sfruttata in attacchi reali .

CVE-2026-45586 — Elevazione di Privilegi di CTFMON (GreenPlasma)

Si tratta di una falla di tipo "link following" nel Windows Collaborative Translation Framework (CTFMON) che consente a un utente malintenzionato autenticato di elevare i privilegi localmente a livello di SISTEMA. Microsoft ha indicato il ricercatore come anonimo, ma gli esperti di sicurezza lo hanno rapidamente collegato all'exploit "GreenPlasma", rilasciato pubblicamente dal ricercatore Nightmare Eclipse (noto in alcune discussioni della community come "Chaotic Eclipse"). Questa divulgazione faceva parte di una campagna per protestare contro i programmi di bug bounty e divulgazione delle vulnerabilità di Microsoft .

CVE-2026-49160 — Denial of Service di HTTP.sys (la "Bomba HTTP/2")

Questa è una vulnerabilità di consumo incontrollato di risorse (CWE-400) nello stack del protocollo HTTP/2, con un punteggio CVSS di 7.5. Un utente malintenzionato remoto e non autenticato può inviare una piccola quantità di dati che costringe il server ad allocare una quantità di memoria sproporzionatamente grande. Manipolando le impostazioni di controllo di flusso di HTTP/2, un malintenzionato può tenere quella memoria occupata a tempo indeterminato . Scoperta da Quang Luong e Codex di Calif.io, l'attacco può mandare offline i server web interessati in pochi secondi . Microsoft ha introdotto una nuova impostazione del registro di sistema MaxHeadersCount (documentata in KB5102602) per limitare gli header delle richieste HTTP/2 e HTTP/3 come mitigazione .

CVE-2026-50507 — Elusione della Funzionalità di Sicurezza di BitLocker (YellowKey)

È un guasto del meccanismo di protezione che permette a un malintenzionato non autenticato con accesso fisico di aggirare la crittografia BitLocker sfruttando l'Ambiente di Ripristino di Windows su unità con solo TPM. Questo è il secondo exploit della campagna Nightmare Eclipse ad essere stato corretto questo mese, conosciuto pubblicamente come "YellowKey" .

La Campagna di Nightmare Eclipse

Il ricercatore Nightmare Eclipse ha lanciato pubblicamente un'ondata di exploit zero-day per Windows—battezzati BlueHammer, MiniPlasma, RedSun, UnDefend, GreenPlasma e YellowKey—per protestare contro la gestione dei bug bounty da parte di Microsoft. Mentre le patch di giugno di Microsoft hanno risolto GreenPlasma e YellowKey, altri tre exploit della stessa campagna (BlueHammer, RedSun e UnDefend) sono stati segnalati come attivamente sfruttati all'inizio di giugno, spingendo la CISA (l'Agenzia per la Cybersicurezza e la Sicurezza delle Infrastrutture degli Stati Uniti) ad aggiungerli al suo catalogo delle Vulnerabilità Sfruttate Conosciute .

Cosa C'è di Nuovo negli Aggiornamenti Cumulativi di Windows 11

Gli aggiornamenti obbligatori di giugno per Windows 11 non hanno portato solo correzioni di sicurezza. Sono stati rilasciati due principali aggiornamenti cumulativi: KB5094126 per le versioni 25H2 (build 26200.8457) e 24H2 (build 26100.8457), e KB5093998 per la versione 23H2 (build 22631.7079) . Microsoft ha anche rilasciato un aggiornamento di sicurezza esteso, KB5094127, per Windows 10 .

Le principali novità dell'aggiornamento di Windows 11 includono :

• Modalità Xbox: Una funzionalità che offre un'esperienza simile a quella di una console Xbox sul PC, ora in distribuzione su più dispositivi.
• Audio Condiviso: Due persone possono ascoltare lo stesso flusso audio da un PC contemporaneamente utilizzando Bluetooth LE Audio.
• Monitoraggio NPU nel Task Manager: L'applicazione ora mostra l'utilizzo della NPU (Neural Processing Unit), la memoria dedicata/condivisa e altre metriche per le unità di elaborazione neurale.
• Fotocamera Multi-App: Consente a più applicazioni di accedere contemporaneamente al flusso della fotocamera.
• Miglioramenti delle Prestazioni: Un nuovo profilo a bassa latenza accelera gli avvii delle app e le interazioni con la shell come Start, Ricerca e Centro notifiche.
• Miglioramenti all'Installazione: Gli utenti possono ora scegliere un nome personalizzato per la propria cartella utente durante la configurazione di Windows.

Il Panorama della Sicurezza Più Ampio: Anche Adobe in Campo

Lo stesso giorno, Adobe ha rilasciato 11 avvisi di sicurezza risolvendo 123 vulnerabilità in prodotti tra cui Acrobat Reader, ColdFusion, InDesign ed Experience Manager. Di queste, 47 sono state classificate come Critiche e potevano portare all'esecuzione di codice arbitrario, all'elevazione dei privilegi o al denial of service .

Complessivamente, Microsoft e Adobe hanno distribuito correzioni per un totale di 329 vulnerabilità il 9 giugno 2026 . Anche l'ecosistema più ampio ha visto un'intensa attività, con Google che ha corretto la bellezza di 360 falle in Microsoft Edge/Chromium all'inizio del mese—vulnerabilità che non rientrano nel conteggio standard del Patch Tuesday .