A Microsoft kiadta a 2026. júniusi Patch Tuesday csomagot, amely minden korábbi rekordot megdöntve több mint 200 sérülékenységet javít.
Az előző rekordot a 2025. októberi Patch Tuesday tartotta 170 javított sérülékenységgel.
A mostani csomag különösen fontos, mert:
- 3 nyilvánosságra került zero-day hibát javít,
- 33 kritikus sérülékenységet tartalmaz,
- 55 távoli kódfuttatási (RCE) hibát kezel,
- 65 jogosultságkiterjesztési (EoP) hibát javít.
A javítások összesítése
| Típus | Darabszám |
|---|---|
| Elevation of Privilege | 65 |
| Remote Code Execution | 55 |
| Information Disclosure | 30 |
| Spoofing | 27 |
| Security Feature Bypass | 19 |
| Denial of Service | 7 |
A három legfontosabb zero-day
1. CVE-2026-45586 – Windows CTFMON Privilege Escalation
Érintett komponens:
- Windows Collaborative Translation Framework
- CTFMON.exe
A sérülékenység lehetővé teszi, hogy egy helyi támadó:
➡️ SYSTEM jogosultságot szerezzen.
A SYSTEM jogosultság Windows alatt gyakorlatilag teljes kontrollt jelent:
- programtelepítés
- biztonsági beállítások módosítása
- hitelesítő adatok elérése
- tartós hozzáférés kialakítása
2. CVE-2026-49160 – HTTP/2 Bomb
Érintett komponens:
- HTTP.sys
Ez egy kernel szintű DoS sérülékenység.
A kutatók szerint egy speciálisan kialakított HTTP/2 kérés:
- minimális hálózati forgalom mellett
- extrém memóriafoglalást idézhet elő
ami:
- szolgáltatásleállást
- alkalmazásösszeomlást
- szerver instabilitást
okozhat.
Kiemelten érintettek
- IIS szerverek
- API Gateway rendszerek
- Windows Server alapú webes szolgáltatások
A Microsoft új beállítást vezetett be:
MaxHeadersCount
amellyel korlátozható a HTTP/2 és HTTP/3 fejlécek száma.
3. CVE-2026-50507 – BitLocker Bypass (YellowKey)
Ez a korábban nagy visszhangot kiváltó:
YellowKey
sérülékenység javítása.
Érintett:
BitLocker
A hiba lehetővé tehette, hogy:
- USB eszköz segítségével
- WinRE környezetben
- speciális körülmények között
a támadó hozzáférjen a titkosított meghajtóhoz.
Kik a leginkább érintettek?
Magánfelhasználók
- Windows 10
- Windows 11
Vállalatok
- Active Directory környezetek
- Domain Controller szerverek
- IIS szerverek
- BitLockerrel védett notebookok
Kormányzati rendszerek
- érzékeny adatokat kezelő munkaállomások
- TPM-only BitLocker konfigurációk
Mit javasol a Microsoft?
BitLocker esetén
A Microsoft továbbra is javasolja:
✅ TPM + PIN használatát
nem pedig kizárólag:
❌ TPM-only módot.
HTTP.sys rendszereknél
Javasolt:
✅ frissítés telepítése
✅ MaxHeadersCount konfigurálása
✅ internetes szolgáltatások tesztelése
Windows rendszereknél
✅ Patch Tuesday telepítése
✅ újraindítás
✅ privilégiumok felülvizsgálata
✅ MFA használata
Miért veszélyes a javítás késleltetése?
A támadók gyakran alkalmazzák az úgynevezett:
Patch Diffing
technikát.
Ez azt jelenti, hogy:
- elemzik a Microsoft javítását,
- meghatározzák a sérülékenység pontos működését,
- exploitot fejlesztenek hozzá,
- célba veszik a még nem frissített rendszereket.
Ezért sok esetben a javítás megjelenése utáni első 1–2 hét a legveszélyesebb időszak.
GDPR és önkormányzati környezetben különösen fontos
A te ügyfélkörödben kiemelten figyelni kell:
- Közös önkormányzati hivatalok
- ASP környezetek
- Windows Server alapú fájlszerverek
- Domain Controller-ek
- BitLockerrel titkosított notebookok
- Távoli munkavégzést támogató rendszerek
esetén.
Különösen a CTFMON privilege escalation és a BitLocker javítás miatt érdemes a rendszergazdákat értesíteni.
