Inne i Microsofts største Patch Tuesday: 200 rettelser og tre null-dagsangrep

De tre offentlig kjente null-dagsangrepene

Microsoft bekreftet at ingen av de tre null-dagsangrepene var kjent for å ha blitt aktivt utnyttet i angrep før rettelsene ble utgitt .

CVE-2026-45586 — CTFMON-rettighetseskalering (GreenPlasma)

Dette er en "lenkefølge"-feil i Windows' Collaborative Translation Framework (CTFMON) som lar en autentisert angriper med lokal tilgang eskalere rettighetene sine til SYSTEM-nivå. Microsoft listet rapportøren som anonym, men sikkerhetsforskere koblet den raskt til "GreenPlasma"-exploiten, offentliggjort av forskeren Nightmare Eclipse (kjent i enkelte miljøer som "Chaotic Eclipse"). Publiseringen var del av en kampanje for å protestere mot Microsofts "bug bounty"- og sårbarhetsprogram .

CVE-2026-49160 — HTTP.sys tjenestenekt ("HTTP/2-bomben")

Dette er en sårbarhet knyttet til ukontrollert ressursforbruk (CWE-400) i HTTP/2-protokollstakken, med en CVSS-score (et mål på alvorlighetsgrad) på 7,5. En uautentisert angriper kan sende en liten mengde data som tvinger serveren til å allokere uforholdsmessig mye minne. Ved å manipulere HTTP/2-flytkontrollinnstillinger kan angriperen holde fast i dette minnet på ubestemt tid . Oppdaget av Quang Luong og Codex fra Calif.io, kan angrepet slå berørte webservere offline i løpet av sekunder . For å begrense skaden introduserte Microsoft en ny registerinnstilling kalt MaxHeadersCount (dokumentert i KB5102602) .

CVE-2026-50507 — Omgåelse av BitLocker-sikkerhet (YellowKey)

Dette er en svikt i beskyttelsesmekanismen som lar en uautentisert angriper med fysisk tilgang omgå BitLocker-kryptering ved å utnytte Windows gjenopprettingsmiljø (Windows Recovery Environment) på maskiner som kun bruker TPM. Dette er den andre exploiten fra Nightmare Eclipse-kampanjen som ble fikset denne måneden, offentlig kjent som "YellowKey" .

Nightmare Eclipse-kampanjen: En protest med kode

Forskeren Nightmare Eclipse offentliggjorde en bølge av Windows-nulldagssårbarheter – døpt BlueHammer, MiniPlasma, RedSun, UnDefend, GreenPlasma og YellowKey – som en protest mot hvordan Microsoft håndterer sine "bug bounties" (belønningsprogrammer for feil). Mens junirettelsene tok for seg GreenPlasma og YellowKey, ble tre andre fra den samme kampanjen (BlueHammer, RedSun og UnDefend) rapportert som aktivt utnyttet tidlig i juni, noe som fikk det amerikanske cybersikkerhetsbyrået CISA til å legge dem til i sin katalog over kjente utnyttede sårbarheter .

Nye funksjoner i Windows 11-oppdateringen

De obligatoriske juni-oppdateringene for Windows 11 leverte mer enn bare sikkerhetsfikser. To kumulative hovedoppdateringer ble utgitt: KB5094126 for versjon 25H2 og 24H2, og KB5093998 for versjon 23H2 . Microsoft ga også ut en utvidet sikkerhetsoppdatering, KB5094127, for Windows 10 .

Viktige nye funksjoner i Windows 11 inkluderer :

• Xbox-modus: En funksjon som gir en spillkonsoll-lignende opplevelse på PC-en, nå tilgjengelig på flere enheter.
• Delt lyd: To personer kan lytte til den samme lydstrømmen fra én PC samtidig via Bluetooth LE Audio.
• NPU-overvåking i Oppgavebehandling: Appen viser nå NPU-bruk, dedikert/delt minne og andre beregninger for nevrale prosesseringsenheter.
• Multi-App-kamera: Lar flere applikasjoner få tilgang til en kamerastrøm samtidig.
• Ytelsesforbedringer: En ny profil for lav ventetid øker hastigheten på appstarter og skallinteraksjoner som Start-meny, Søk og Handlingssenter.
• Forbedret oppsett: Brukere kan nå velge et egendefinert navn på brukermappen sin under Windows-oppsettet.

Det bredere sikkerhetslandskapet: Adobe henger seg på

Samme dag slapp Adobe 11 sikkerhetsbulletiner som tettet hele 123 sårbarheter i produkter som Acrobat Reader, ColdFusion, InDesign og Experience Manager. Av disse var 47 klassifisert som kritiske og kunne føre til vilkårlig kodekjøring, rettighetseskalering eller tjenestenekt .

Til sammen sendte Microsoft og Adobe ut rettelser for totalt 329 sårbarheter den 9. juni 2026 . Det bredere økosystemet var også i sving, med Google som tidligere i måneden fikset hele 360 feil i Microsoft Edge/Chromium – sårbarheter som faller utenfor den vanlige Patch Tuesday-opptellingen .