Rekordowy Patch Tuesday Microsoftu: 200 poprawek i trzy luki zero-day załatane w czerwcu 2026

Trzy publicznie ujawnione luki zero-day

Co kluczowe, Microsoft nie odnotował, aby przed wydaniem poprawek którakolwiek z tych trzech luk zero-day była aktywnie wykorzystywana przez cyberprzestępców . Nie umniejsza to jednak ich potencjalnej wagi.

CVE-2026-45586 — Eskalacja uprawnień w CTFMON (GreenPlasma)

Jest to luka typu "link following" w strukturze Windows Collaborative Translation Framework (CTFMON). Pozwala uwierzytelnionemu atakującemu na lokalne podniesienie uprawnień do poziomu SYSTEM. Microsoft jako zgłaszającego podał anonimowego badacza, jednak eksperci ds. bezpieczeństwa szybko powiązali tę lukę z publicznym exploiterm o nazwie „GreenPlasma”, opublikowanym przez badacza występującego pod pseudonimem Nightmare Eclipse (znanego również w niektórych dyskusjach jako „Chaotic Eclipse”). Publikacja była częścią kampanii protestacyjnej przeciwko programom bug bounty i ujawniania luk w Microsofcie .

CVE-2026-49160 — Odmowa dostępu do usługi w HTTP.sys („Bomba HTTP/2”)

To podatność na niekontrolowane zużycie zasobów (CWE-400) w stosie protokołu HTTP/2, z przypisanym wynikiem CVSS na poziomie 7.5. Zdalny, nieuwierzytelniony atakujący może wysłać niewielką ilość danych, która zmusza serwer do alokacji nieproporcjonalnie dużej ilości pamięci. Manipulując ustawieniami kontroli przepływu w HTTP/2, napastnik może utrzymać tę pamięć zajętą przez nieograniczony czas .

Odkryta przez Quang Luong i Codex z Calif.io technika ataku może powalić podatne serwery internetowe — w tym te korzystające z Microsoft IIS — w ciągu kilku sekund . Jako sposób na złagodzenie skutków, Microsoft wprowadził nowe ustawienie rejestru MaxHeadersCount (udokumentowane w KB5102602), które ogranicza liczbę nagłówków żądań HTTP/2 i HTTP/3 .

CVE-2026-50507 — Obejście zabezpieczeń BitLockera (YellowKey)

To luka w mechanizmie ochronnym, która umożliwia nieuwierzytelnionemu atakującemu z fizycznym dostępem do komputera ominięcie szyfrowania BitLocker. Exploit wykorzystuje Środowisko Odzyskiwania Windows (Windows Recovery Environment) na dyskach zabezpieczonych wyłącznie modułem TPM. Jest to drugi załatany w tym miesiącu exploit z kampanii Nightmare Eclipse, publicznie znany jako „YellowKey” .

Kampania Nightmare Eclipse — tło protestu

Badacz Nightmare Eclipse publicznie wypuścił serię exploitów zero-day na Windowsa — nazwanych BlueHammer, MiniPlasma, RedSun, UnDefend, GreenPlasma i YellowKey — w proteście przeciwko sposobowi, w jaki Microsoft obsługuje programy nagród za błędy. Choć czerwcowe poprawki Microsoftu załatały GreenPlasma i YellowKey, trzy pozostałe z tej samej kampanii (BlueHammer, RedSun i UnDefend) zostały na początku czerwca uznane za aktywnie wykorzystywane, co skłoniło amerykańską agencję CISA do wpisania ich na listę znanych, wykorzystywanych luk (Known Exploited Vulnerabilities) .

Co nowego w aktualizacjach zbiorczych Windows 11

Obowiązkowe, czerwcowe aktualizacje dla Windows 11 dostarczyły więcej niż tylko poprawek bezpieczeństwa. Wydano dwie główne aktualizacje zbiorcze: KB5094126 dla wersji 25H2 (kompilacja 26200.8457) i 24H2 (kompilacja 26100.8457) oraz KB5093998 dla wersji 23H2 (kompilacja 22631.7079) . Ponadto Microsoft opublikował rozszerzoną aktualizację zabezpieczeń KB5094127 dla Windows 10 .

Wśród kluczowych nowości w aktualizacji dla Windows 11 znalazły się :

• Tryb Xbox: Funkcja, która zapewnia na komputerze wrażenia zbliżone do konsoli Xbox. Jest teraz udostępniana na większej liczbie urządzeń.
• Współdzielony Dźwięk (Shared Audio): Dwie osoby mogą słuchać tego samego strumienia audio z jednego komputera jednocześnie, korzystając z Bluetooth LE Audio.
• Monitorowanie NPU w Menadżerze Zadań: Aplikacja pokazuje teraz zużycie jednostki NPU (Neural Processing Unit), wykorzystanie pamięci dedykowanej/współdzielonej i inne metryki dla procesorów neuronowych.
• Kamera dla wielu aplikacji (Multi-App Camera): Umożliwia wielu aplikacjom jednoczesny dostęp do strumienia z kamery.
• Poprawa wydajności: Nowy profil niskich opóźnień (Low Latency) przyspiesza uruchamianie aplikacji i interakcję z elementami powłoki systemowej, takimi jak Start, Wyszukiwanie i Centrum Akcji.
• Ulepszenia konfiguracji: Podczas instalacji systemu użytkownicy mogą teraz wybrać niestandardową nazwę dla swojego folderu użytkownika.

Szeroki krajobraz bezpieczeństwa: Adobe dołącza do akcji

Tego samego dnia Adobe opublikowało 11 biuletynów bezpieczeństwa, które łatają łącznie 123 luki w takich produktach jak Acrobat Reader, ColdFusion, InDesign i Experience Manager. Aż 47 z nich oznaczono jako Krytyczne — ich wykorzystanie mogło prowadzić do zdalnego wykonania kodu, eskalacji uprawnień lub odmowy dostępu do usługi .

W sumie, 9 czerwca 2026 roku, Microsoft i Adobe dostarczyły poprawki na oszałamiającą liczbę 329 podatności . W szerszym ekosystemie również nie próżnowano — wcześniej w tym samym miesiącu Google załatało aż 360 luk w przeglądarce Microsoft Edge/Chromium, które nie są wliczane do standardowego podsumowania Patch Tuesday .