Patch Tuesday Terbesar Microsoft: 200 Pembaikan dan 3 Kerentanan Zero-Day

Tiga Kerentanan Zero-Day yang Didedahkan Secara Awam

Yang penting, tiada satu pun daripada tiga kerentanan zero-day ini diketahui telah dieksploitasi secara aktif sebelum tampalan dikeluarkan .

CVE-2026-45586 — Peningkatan Keistimewaan CTFMON (GreenPlasma)

Ini adalah kelemahan "pengikutan pautan" (link following) dalam Rangka Kerja Terjemahan Kolaboratif Windows (CTFMON) yang membolehkan penyerang yang disahkan meningkatkan keistimewaan secara setempat kepada SISTEM. Microsoft menyenaraikan pelapor sebagai tanpa nama, tetapi penyelidik keselamatan dengan cepat mengaitkannya dengan eksploitasi “GreenPlasma” yang dikeluarkan secara awam oleh penyelidik Nightmare Eclipse (juga dikenali dalam perbincangan komuniti sebagai “Chaotic Eclipse”). Pendedahan ini adalah sebahagian daripada kempen untuk memprotes program ganjaran pepijat dan pendedahan kerentanan Microsoft .

CVE-2026-49160 — Penafian Perkhidmatan HTTP.sys ("HTTP/2 Bomb")

Ini adalah kerentanan penggunaan sumber tanpa kawalan (CWE-400) dalam tindanan protokol HTTP/2, dengan skor CVSS 7.5. Penyerang jauh yang tidak disahkan boleh menghantar sejumlah kecil data yang memaksa pelayan untuk memperuntukkan jumlah memori yang sangat besar secara tidak seimbang. Dengan memanipulasi tetapan kawalan aliran HTTP/2, penyerang boleh mengekalkan memori tersebut terikat selama-lamanya . Ditemui oleh Quang Luong dan Codex dari Calif.io, serangan ini boleh melumpuhkan pelayan web yang terjejas dalam beberapa saat . Microsoft memperkenalkan tetapan pendaftaran MaxHeadersCount baharu (didokumenkan dalam KB5102602) untuk mengehadkan pengepala permintaan HTTP/2 dan HTTP/3 sebagai langkah mitigasi .

CVE-2026-50507 — Pintasan Ciri Keselamatan BitLocker (YellowKey)

Ini adalah kegagalan mekanisme perlindungan yang membolehkan penyerang tidak disahkan dengan akses fizikal untuk memintas penyulitan BitLocker dengan mengeksploitasi Persekitaran Pemulihan Windows pada pemacu TPM sahaja. Ini adalah eksploitasi kedua daripada kempen Nightmare Eclipse yang diperbaiki bulan ini, yang dikenali secara umum sebagai “YellowKey” .

Kempen Nightmare Eclipse

Penyelidik Nightmare Eclipse secara terbuka melancarkan gelombang zero-day Windows—dinamakan BlueHammer, MiniPlasma, RedSun, UnDefend, GreenPlasma, dan YellowKey—sebagai protes terhadap cara Microsoft mengendalikan ganjaran pepijat. Walaupun tampalan Jun Microsoft menangani GreenPlasma dan YellowKey, tiga yang lain daripada kempen yang sama (BlueHammer, RedSun, dan UnDefend) dilaporkan telah dieksploitasi secara aktif pada awal Jun, mendorong CISA untuk menambahkannya ke dalam Katalog Kerentanan Dieksploitasi Diketahui (KEV) .

Apa yang Baharu dalam Kemas Kini Kumulatif Windows 11

Kemas kini wajib Jun untuk Windows 11 menyampaikan lebih daripada sekadar pembaikan keselamatan. Dua kemas kini kumulatif utama telah dikeluarkan: KB5094126 untuk versi 25H2 (binaan 26200.8457) dan 24H2 (binaan 26100.8457), dan KB5093998 untuk versi 23H2 (binaan 22631.7079) . Microsoft juga mengeluarkan kemas kini keselamatan lanjutan, KB5094127, untuk Windows 10 .

Ciri baharu utama dalam kemas kini Windows 11 termasuk :

• Mod Xbox: Ciri yang menyediakan pengalaman seperti konsol Xbox pada PC, kini dilancarkan ke lebih banyak peranti.
• Audio Dikongsi: Dua orang boleh mendengar strim audio yang sama dari satu PC serentak melalui Audio Bluetooth LE.
• Pemantauan NPU Pengurus Tugas: Aplikasi kini menunjukkan penggunaan NPU, ingatan khusus/dikongsi, dan metrik lain untuk unit pemprosesan neural.
• Kamera Pelbagai Aplikasi: Membenarkan berbilang aplikasi mengakses strim kamera pada masa yang sama.
• Peningkatan Prestasi: Profil kependaman rendah (low-latency) baharu mempercepatkan pelancaran aplikasi dan interaksi shell seperti Mula, Carian dan Pusat Tindakan.
• Penambahbaikan Persediaan: Pengguna kini boleh memilih nama tersuai untuk folder pengguna mereka semasa Persediaan Windows.

Landskap Keselamatan Lebih Luas: Adobe Turut Serta

Pada hari yang sama, Adobe mengeluarkan 11 nasihat keselamatan yang menyumbat 123 kerentanan merentasi produk termasuk Acrobat Reader, ColdFusion, InDesign, dan Experience Manager. Daripada jumlah itu, 47 dinilai sebagai Kritikal dan boleh menyebabkan pelaksanaan kod arbitrari, peningkatan keistimewaan, atau penafian perkhidmatan .

Secara gabungan, Microsoft dan Adobe mengeluarkan pembaikan untuk sejumlah 329 kerentanan pada 9 Jun 2026 . Ekosistem yang lebih luas juga menyaksikan tindakan, dengan Google menampalkan 360 kelemahan besar dalam Microsoft Edge/Chromium pada awal bulan—kerentanan yang berada di luar kiraan Patch Tuesday standard .