Рекордний червневий Patch Tuesday від Microsoft: 200 виправлень та 3 знайдені вразливості нульового дня

Три публічно розкриті вразливості нульового дня

Критично важливо, що жодна з трьох вразливостей нульового дня, за даними Microsoft, не використовувалася зловмисниками до моменту виходу виправлень .

CVE-2026-45586 — підвищення привілеїв у CTFMON (GreenPlasma)

Це вразливість типу «слідування за посиланням» у Windows Collaborative Translation Framework (CTFMON), яка дозволяє автентифікованому зловмиснику локально підвищити привілеї до рівня SYSTEM. Microsoft вказала дослідника як анонімного, але фахівці з безпеки швидко пов'язали цю вразливість із експлойтом «GreenPlasma», публічно оприлюдненим дослідником на ім'я Nightmare Eclipse (також відомим в обговореннях як «Chaotic Eclipse»). Це розкриття було частиною кампанії протесту проти програм винагороди за помилки та розкриття вразливостей Microsoft .

CVE-2026-49160 — відмова в обслуговуванні HTTP.sys (так звана «HTTP/2 Bomb»)

Ця вразливість неконтрольованого споживання ресурсів (CWE-400) у стеку протоколу HTTP/2 отримала оцінку CVSS 7.5. Віддалений неавтентифікований зловмисник може надіслати невеликий обсяг даних, щоб змусити сервер виділити непропорційно великий обсяг пам'яті. Маніпулюючи налаштуваннями контролю потоку HTTP/2, атакуючий може утримувати цю пам'ять зайнятою нескінченно довго . Вразливість, виявлена дослідниками Quang Luong та Codex з Calif.io, здатна вивести з ладу уражені вебсервери за лічені секунди . Для пом'якшення проблеми Microsoft запровадила новий параметр реєстру MaxHeadersCount (задокументований у KB5102602), який обмежує кількість заголовків запитів HTTP/2 та HTTP/3 .

CVE-2026-50507 — обхід функції безпеки BitLocker (YellowKey)

Це збій захисного механізму, що дозволяє неавтентифікованому зловмиснику з фізичним доступом обійти шифрування BitLocker, використовуючи середовище відновлення Windows (Windows Recovery Environment) на дисках із лише TPM-захистом. Це другий виправлений цього місяця експлойт із кампанії Nightmare Eclipse, публічно відомий як «YellowKey» .

Кампанія Nightmare Eclipse

Дослідник Nightmare Eclipse публічно запустив хвилю Windows-вразливостей нульового дня — під назвами BlueHammer, MiniPlasma, RedSun, UnDefend, GreenPlasma та YellowKey — на знак протесту проти того, як Microsoft обробляє винагороди за знайдені помилки. Хоча червневі патчі Microsoft виправили GreenPlasma та YellowKey, три інші (BlueHammer, RedSun та UnDefend), за повідомленнями, активно використовувалися на початку червня, що змусило CISA додати їх до свого каталогу відомих експлуатованих вразливостей .

Що нового в кумулятивних оновленнях Windows 11

Червневі обов'язкові оновлення для Windows 11 принесли більше, ніж просто виправлення безпеки. Було випущено два основні кумулятивні оновлення: KB5094126 для версій 25H2 (збірка 26200.8457) та 24H2 (збірка 26100.8457), і KB5093998 для версії 23H2 (збірка 22631.7079) . Також Microsoft випустила оновлення розширеної безпеки KB5094127 для Windows 10 .

Ключові нові функції в оновленні Windows 11 включають :

• Режим Xbox (Xbox Mode): Функція, яка забезпечує роботу ПК, подібну до консолі Xbox, і тепер розгортається на більшій кількості пристроїв.
• Спільний звук (Shared Audio): Двоє людей можуть одночасно слухати один аудіопотік з одного ПК, використовуючи Bluetooth LE Audio.
• Моніторинг NPU в Диспетчері завдань: Програма тепер показує використання нейронного процесора (NPU), виділену/спільну пам'ять та інші показники.
• Багатопотокова камера (Multi-App Camera): Дозволяє декільком програмам одночасно отримувати доступ до одного відеопотоку з камери.
• Покращення продуктивності: Новий профіль низької затримки прискорює запуск програм та оболонки, зокрема меню «Пуск», Пошук та Центр сповіщень.
• Покращення встановлення: Користувачі можуть вибрати власне ім'я для папки користувача під час налаштування Windows.

Ширший ландшафт безпеки: Adobe теж у грі

Того ж дня Adobe випустила 11 рекомендацій з безпеки, закривши 123 вразливості у таких продуктах, як Acrobat Reader, ColdFusion, InDesign та Experience Manager. З них 47 були оцінені як критичні та могли призвести до виконання довільного коду, підвищення привілеїв або відмови в обслуговуванні .

Загалом, 9 червня 2026 року Microsoft та Adobe разом випустили виправлення для 329 вразливостей . Ширша екосистема також не залишилася осторонь: раніше цього місяця Google виправила величезну кількість — 360 вразливостей — у Microsoft Edge/Chromium, які виходять за рамки стандартного «вівторка виправлень» .