Microsofts rekordstora Patch Tuesday i juni 2026: 200 brister åtgärdade, tre nolldagar patchade

En mycket viktig detalj: ingen av de tre nolldagarna var känd för att ha utnyttjats aktivt i riktiga attacker innan patcherna släpptes .

CVE-2026-45586 — Rättighetshöjning i CTFMON (GreenPlasma)

Det här är en "länkföljningsbrist" i Windows Collaborative Translation Framework (CTFMON) som låter en autentiserad angripare med lokal tillgång att höja sina rättigheter till SYSTEM-nivå. Microsoft angav rapportören som anonym, men säkerhetsforskare kopplade snabbt ihop den med "GreenPlasma"-exploatet, som offentliggjorts av forskaren Nightmare Eclipse (även omnämnd som "Chaotic Eclipse" i vissa forum). Avslöjandet var en del av en kampanj för att protestera mot Microsofts hantering av deras bugg-bounty och sårbarhetsprogram .

CVE-2026-49160 — Överbelastningsattack mot HTTP.sys (”HTTP/2-bomben”)

Det här är en sårbarhet för okontrollerad resurskonsumtion (CWE-400) i HTTP/2-protokollstacken, med ett CVSS-allvarlighetsvärde på 7,5. En icke-autentiserad angripare på nätverket kan skicka en liten mängd data som tvingar servern att allokera en oproportionerligt stor mängd minne. Genom att manipulera HTTP/2:s flödeskontroll kan angriparen låsa fast detta minne på obestämd tid . Attacken, som upptäcktes av Quang Luong och Codex från Calif.io, kan slå ut drabbade webbservrar på några sekunder . Som en begränsning införde Microsoft en ny registernyckel, MaxHeadersCount (dokumenterad i KB5102602), för att sätta ett tak för antalet HTTP/2- och HTTP/3-förfrågningshuvuden .

CVE-2026-50507 — Förbikoppling av BitLocker (YellowKey)

Det här är ett fel i skyddsmekanismen som tillåter en icke-autentiserad angripare med fysisk tillgång att kringgå BitLocker-krypteringen genom att utnyttja Windows Recovery Environment (återställningsmiljön) på enheter som enbart använder TPM. Detta är den andra exploaten från Nightmare Eclipses kampanj som patchas denna månad, publikt känd som "YellowKey" .

Protestkampanjen Nightmare Eclipse

Forskaren Nightmare Eclipse offentliggjorde en våg av Windows-nolldagar – med namn som BlueHammer, MiniPlasma, RedSun, UnDefend, GreenPlasma och YellowKey – i protest mot hur Microsoft hanterar sitt bugg-bountyprogram. Medan Microsofts junipatchar åtgärdade GreenPlasma och YellowKey, rapporterades tre andra från samma kampanj (BlueHammer, RedSun och UnDefend) som aktivt utnyttjade i början av juni. Detta fick den amerikanska cybersäkerhetsmyndigheten CISA att lägga till dem i sin katalog över kända exploaterade sårbarheter .

Nyheter i Windows 11:s kumulativa uppdateringar

De obligatoriska juniuppdateringarna för Windows 11 innehöll mer än bara säkerhetsfixar. Två huvudsakliga kumulativa uppdateringar släpptes: KB5094126 för versionerna 25H2 (build 26200.8457) och 24H2 (build 26100.8457), samt KB5093998 för version 23H2 (build 22631.7079) . Microsoft släppte också en förlängd säkerhetsuppdatering, KB5094127, för Windows 10 .

De viktigaste nya funktionerna i Windows 11-uppdateringen inkluderar :

• Xbox-läge: En funktion som ger datorn en konsolliknande Xbox-upplevelse, som nu rullas ut till fler enheter.
• Delat ljud: Gör det möjligt för två personer att samtidigt lyssna på samma ljudström från en dator med hjälp av Bluetooth LE Audio.
• NPU-övervakning i Aktivitetshanteraren: Programmet visar nu NPU-användning, dedikerat/delat minne och andra mätvärden för processorer specialiserade på AI och neurala nätverk.
• Multi-App-kamera: Tillåter att flera program använder en kameraström samtidigt.
• Prestandaförbättringar: En ny låglatensprofil snabbar upp appstarter och skalinteraktioner som Start, Sök och Action Center.
• Förbättrad installation: Användare kan nu välja ett anpassat namn för sin användarmapp redan under installationen av Windows.

Adobe och det bredare säkerhetsläget

Samma dag släppte Adobe 11 säkerhetsråd som täppte till 123 sårbarheter i produkter som Acrobat Reader, ColdFusion, InDesign och Experience Manager. Av dessa klassades 47 som kritiska och kunde lett till godtycklig kodexekvering, rättighetshöjning eller överbelastningsattacker .

Sammantaget pressade Microsoft och Adobe ut fixar för totalt 329 sårbarheter den 9 juni 2026 . Det bredare ekosystemet stod inte still: tidigare i månaden hade Google patchar inte mindre än 360 brister i webbläsaren Microsoft Edge/Chromium – sårbarheter som ligger utanför den ordinarie Patch Tuesday-statistiken .