Binnen Microsofts grootste Patch Tuesday: 200 fixes en 3 zero-days

De drie publiekelijk bekende zero-days

Het is cruciaal om te weten dat van geen van deze drie zero-day-kwetsbaarheden bekend was dat ze actief werden uitgebuit voordat de patches werden uitgebracht .

CVE-2026-45586 — CTFMON Misbruik van Bevoegdheden (GreenPlasma)

Dit is een 'link following'-kwetsbaarheid in het Windows Collaborative Translation Framework (CTFMON) waarmee een geauthenticeerde aanvaller lokaal zijn rechten kan verhogen tot SYSTEM-niveau. Microsoft vermeldde de melder als anoniem, maar beveiligingsonderzoekers brachten het snel in verband met de "GreenPlasma"-exploit die openbaar was gemaakt door de onderzoeker Nightmare Eclipse (in discussies ook wel "Chaotic Eclipse" genoemd). De openbaarmaking maakte deel uit van een campagne om te protesteren tegen Microsofts bugbounty- en openbaarmakingsprogramma's .

CVE-2026-49160 — HTTP.sys Denial of Service (De "HTTP/2-bom")

Dit is een ongecontroleerde resourceconsumptie-kwetsbaarheid (CWE-400) in de HTTP/2-protocolstack, met een CVSS-score van 7.5. Een on-geauthenticeerde externe aanvaller kan een kleine hoeveelheid gegevens sturen die de server dwingt een buitensporig grote hoeveelheid geheugen toe te wijzen. Door de flow-control-instellingen van HTTP/2 te manipuleren, kan een aanvaller dat geheugen voor onbepaalde tijd bezet houden . De kwetsbaarheid werd ontdekt door Quang Luong en Codex van Calif.io en kan getroffen webservers binnen enkele seconden platleggen . Microsoft introduceerde een nieuwe registersleutel, MaxHeadersCount (gedocumenteerd in KB5102602), om het aantal HTTP/2- en HTTP/3-verzoekheaders te beperken als tegenmaatregel .

CVE-2026-50507 — BitLocker Omzeiling Beveiligingsfunctie (YellowKey)

Dit is een fout in het beveiligingsmechanisme waarmee een on-geauthenticeerde aanvaller met fysieke toegang de BitLocker-versleuteling kan omzeilen door misbruik te maken van de Windows Herstelomgeving op schijven met alleen TPM. Dit is de tweede exploit uit de Nightmare Eclipse-campagne die deze maand is verholpen, publiekelijk bekend als "YellowKey" .

De Nightmare Eclipse-campagne

De onderzoeker Nightmare Eclipse lanceerde openlijk een golf Windows zero-days – genaamd BlueHammer, MiniPlasma, RedSun, UnDefend, GreenPlasma en YellowKey – uit protest tegen hoe Microsoft met bugbounty's omgaat. Hoewel Microsofts patches van juni GreenPlasma en YellowKey aanpakten, werden er begin juni drie andere exploits uit dezelfde campagne (BlueHammer, RedSun en UnDefend) gerapporteerd als actief misbruikt. Dit was voor het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Ministerie van Binnenlandse Veiligheid, aanleiding om ze toe te voegen aan de catalogus van 'Known Exploited Vulnerabilities' .

Wat is er nieuw in de cumulatieve updates voor Windows 11

De verplichte juni-updates voor Windows 11 brachten meer dan alleen beveiligingsfixes. Er werden twee primaire cumulatieve updates uitgebracht: KB5094126 voor versies 25H2 (build 26200.8457) en 24H2 (build 26100.8457), en KB5093998 voor versie 23H2 (build 22631.7079) . Microsoft bracht ook een uitgebreide beveiligingsupdate uit, KB5094127, voor Windows 10 .

Belangrijke nieuwe functies in de Windows 11-update zijn onder andere :

• Xbox-modus: Een functie die een Xbox-console-achtige ervaring op een pc biedt, die nu naar meer apparaten wordt uitgerold.
• Gedeelde audio: Twee personen kunnen tegelijkertijd vanaf één pc naar dezelfde audiostream luisteren via Bluetooth LE Audio.
• NPU-monitoring in Taakbeheer: De app toont nu het NPU-gebruik, toegewijd/gedeeld geheugen en andere gegevens voor Neural Processing Units.
• Multi-app-camera: Hiermee kunnen meerdere applicaties tegelijkertijd toegang krijgen tot een camerastream.
• Prestatieverbeteringen: Een nieuw low-latency-profiel versnelt het starten van apps en shell-interacties zoals Start, Zoeken en het Actiecentrum.
• Installatieverbeteringen: Gebruikers kunnen nu tijdens de Windows-setup een aangepaste naam voor hun gebruikersmap kiezen.

Breder beveiligingslandschap: Adobe doet mee

Op dezelfde dag bracht Adobe 11 beveiligingsadviezen uit die 123 kwetsbaarheden dichtten in producten zoals Acrobat Reader, ColdFusion, InDesign en Experience Manager. Daarvan werden er 47 als Kritiek beoordeeld, wat kon leiden tot het uitvoeren van willekeurige code, misbruik van bevoegdheden of denial-of-service .

Alles bij elkaar brachten Microsoft en Adobe op 9 juni 2026 fixes uit voor een totaal van 329 kwetsbaarheden . Ook in het bredere ecosysteem was er actie; Google patchte eerder die maand maar liefst 360 lekken in Microsoft Edge/Chromium – kwetsbaarheden die buiten de standaard Patch Tuesday-telling vallen .