Microsoft vydal júnové bezpečnostné aktualizácie v rámci pravidelného Patch Tuesday, ktoré adresujú 200 zraniteľností vrátane piatich verejne zverejnených zero-day a jedného aktívne zneužívaného v reálnych útokoch.
Prehľad záplat
Júnový Patch Tuesday opravuje celkovo 33 „kritických“ zraniteľností, z ktorých 28 umožňuje vzdialené spustenie kódu, 4 sa týkajú eskalácie privilégií a 1 predstavuje únik informácií.
Rozdelenie podľa kategórií zraniteľností:
| Kategória | Počet |
|---|---|
| Eskalácia privilégií | 65 |
| Vzdialené spustenie kódu | 55 |
| Únik informácií | 30 |
| Spoofing | 27 |
| Obchádzanie bezpečnostných funkcií | 19 |
| Odmietnutie služby (DoS) | 7 |
Do celkového počtu nie sú zahrnuté zraniteľnosti opravené skôr v priebehu mesiaca v produktoch ako Mariner, Azure HorizonDB, Microsoft Copilot, M365 Copilot, Microsoft Exchange Online či Microsoft Graph. Samostatne bolo opravených aj 360 zraniteľností Microsoft Edge/Chromium zo strany Google.
Zero-day zraniteľnosti
Verejne zverejnené zero-day
CVE-2026-45586 – Windows Collaborative Translation Framework (CTFMON): Eskalácia privilégií
Microsoft opravil zraniteľnosť v komponente Windows CTFMON umožňujúcu získanie systémových oprávnení SYSTEM. Chyba pramení z nesprávneho rozlišovania odkazov pred prístupom k súborom. Hoci Microsoft uviedol anonymného výskumníka, zdrojom je zero-day s názvom „GreenPlasma“ zverejnený výskumníkom Nightmare Eclipse – oprávnenie umožňuje spustenie shellu so SYSTEM právami.
Nightmare Eclipse zverejnil sériu Windows zero-day zraniteľností vrátane BlueHammer, RedSun, UnDefend a YellowKey na protest voči spôsobu, akým Microsoft zaobchádza so svojím programom bug bounty a zodpovedného zverejňovania zraniteľností.
CVE-2026-49160 – HTTP.sys: Odmietnutie služby (DoS)
Opravená verejne zverejnená zraniteľnosť protokolu HTTP/2 označovaná ako „HTTP/2 Bomb“, ktorú odhalili výskumníci z bezpečnostnej firmy Calif. Zraniteľnosť zneužíva spôsob, akým protokol HTTP/2 komprimuje a spravuje hlavičky webovej prevádzky – útočník môže odoslať minimálne množstvo dát, ktoré prinútia server alokovať neúmerne veľké množstvo pamäte. Manipuláciou nastavení riadenia toku môže útočník navyše zabrániť uvoľneniu pamäte, čo vedie k výpadkom výkonu alebo nedostupnosti služby.
Microsoft ako súčasť záplaty zaviedol nové nastavenie registra „MaxHeadersCount“ na obmedzenie počtu hlavičiek v HTTP/2 a HTTP/3 požiadavkách.
CVE-2026-45585 – Windows BitLocker: Obchádzanie bezpečnostných funkcií (YellowKey)
Opravená verejne zverejnená zraniteľnosť BitLockeru známa ako „YellowKey“, ktorá umožňuje lokálnym útočníkom s fyzickým prístupom k zariadeniu obísť šifrovanie a získať prístup k zašifrovaným dátam. Exploit funguje uložením špeciálne upravených súborov na USB disk alebo EFI partíciu a zavedením systému do Windows Recovery Environment (WinRE), kde podržanie klávesu CTRL spustí príkazový shell s neobmedzeným prístupom k BitLockerom chráneným diskom.
Zraniteľnosť postihuje primárne systémy využívajúce ochranu TPM-only na zariadeniach s Windows 11 a Windows Server 2022/2025. Microsoft ešte v máji zverejnil dočasné zmierňujúce opatrenia vrátane odporúčania aktivovať autentifikáciu TPM+PIN.
CVE-2026-50507 – Windows BitLocker: Obchádzanie bezpečnostných funkcií (bitskrieg)
Ďalšia BitLocker zraniteľnosť umožňujúca lokálnym útočníkom s fyzickým prístupom prístup k zašifrovaným diskom. Bezpečnostná záplata pravdepodobne opravuje zero-day „bitskrieg“, ktorý minulý piatok zverejnil na platforme X expert na bezpečnosť Windows Jonas Lykkegaard. Analytik Will Dormann zo spoločnosti Tharros potvrdil, že záplata pre CVE-2026-50507 túto chybu rieši, no zároveň upozorňuje, že aktualizácia môže na niektorých zariadeniach spôsobiť chybovú hlášku o nesprávnom načítaní kľúča BitLocker. Problém možno vyriešiť vypnutím a opätovným zapnutím WinRE cez príkazový riadok s administrátorskými oprávneniami.
CVE-2020-17103 – Windows Cloud Files Mini Filter Driver: Eskalácia privilégií (Mini-Plasma)
Microsoft opravil verejne zverejnenú zraniteľnosť „Mini-Plasma“ poskytujúcu SYSTEM oprávnenia. Zaujímavosťou je história tohto CVE: pôvodne bol identifikovaný a nahlásený výskumníkom Google Project Zero Jamesom Forshawom v septembri 2020 a údajne opravený v decembri 2020. Nightmare Eclipse však upozornil, že zraniteľnosť bola naďalej zneužiteľná – či už nebola nikdy plne opravená, alebo sa záplata neskôr nenápadne stratila.
Aktívne zneužívaná zraniteľnosť
CVE-2026-42897 – Microsoft Exchange Server: Spoofing
Jedinou aktívne zneužívanou zraniteľnosťou tohto Patch Tuesday je spoofing v Microsoft Exchange Serveri umožňujúci spustenie JavaScriptu v prehliadači obete. Útočník môže zneužiť chybu zaslaním špeciálne upraveného e-mailu – ak ho príjemca otvorí cez Outlook Web Access a sú splnené určité podmienky interakcie, v kontexte prehliadača sa spustí ľubovoľný JavaScript.
Microsoft uviedol, že stále pracuje na kompletnej záplate, no medzičasom distribuuje zmierňujúce opatrenia prostredníctvom služby Exchange Emergency Mitigation Service, ktorá by mala byť predvolene povolená.
Vybrané kritické zraniteľnosti
Okrem zero-day opráv si pozornosť zasluhujú aj ďalšie kritické zraniteľnosti:
- Remote Desktop Client – opravených až 11 zraniteľností umožňujúcich vzdialené spustenie kódu, z toho 7 kritických
- Microsoft Office / Outlook / Word – viacero kritických RCE zraniteľností vrátane CVE-2026-45458, CVE-2026-47635 a CVE-2026-45456
- Windows Hyper-V – tri zraniteľnosti umožňujúce vzdialené spustenie kódu (CVE-2026-47652, CVE-2026-45607, CVE-2026-45641)
- Windows Kerberos – kritická RCE zraniteľnosť CVE-2026-47288 v Key Distribution Center
- Windows DHCP Client – kritická RCE zraniteľnosť CVE-2026-44815
- Active Directory Domain Services – kritická RCE zraniteľnosť CVE-2026-45648
- Windows Media – kritická RCE zraniteľnosť CVE-2026-48574
- HTTP.sys – kritická RCE zraniteľnosť CVE-2026-47291
Aktualizácie od ďalších dodávateľov v júni 2026
Júnový Patch Tuesday je sprevádzaný bezpečnostnými aktualizáciami aj od iných výrobcov:
- Acer – upozornenie na dve neopravené zraniteľnosti maximálnej závažnosti v routeroch Acer Wave 7
- Adobe – záplaty pre Experience Manager, InDesign, InCopy, Substance 3D Sampler, Dreamweaver, Reader, ColdFusion a ďalšie
- Check Point – oprava zraniteľnosti Remote Access VPN zneužitej pri ransomwarových útokoch skupiny Qilin
- Cisco – aktualizácie pre viaceré produkty vrátane zraniteľnosti Unified CM s verejným PoC exploitom a zero-day v SD-WAN aktívne zneužívaného v útokoch
- Fortinet – záplaty pre FortiOS, FortiSandbox a FortiProxy
- Google – júnový bezpečnostný bulletin pre Android (124 zraniteľností, jedna aktívne zneužívaná) a nový zero-day Chrome zneužitý v útokoch
- Ivanti – záplaty pre Ivanti Endpoint Manager Mobile a Ivanti Sentry (žiadna aktívne zneužívaná)
- Ubiquiti – opravy troch zraniteľností maximálnej závažnosti s možným RCE
- SAP – júnové aktualizácie vrátane opráv štyroch kritických zraniteľností
- Veeam – záplata kritickej zraniteľnosti v Backup & Replication umožňujúcej RCE na zálohovacích serveroch pripojených k doméne
Odporúčanie
Organizácie by mali júnové bezpečnostné aktualizácie nasadiť čo najskôr, prioritne sa zamerať na záplaty pre Exchange Server (aktívne zneužívaná zraniteľnosť), BitLocker, Remote Desktop Client a Microsoft Office. Administrátori systémov s BitLockerom by mali byť pripravení na možnú chybovú hlášku po aktualizácii CVE-2026-50507 a mať po ruke postup jej riešenia.
Viac informácii:
https://www.linkedin.com/pulse/microsoft-june-2026-patch-tuesday-fixes-200-vulnerabilities-h7zce