Microsoft затвори рекордни 206 безбедносни пропусти, вклучувајќи три „zero-day“ ранливости и критични RCE грешки

Објавено: 10.06.2026

Microsoft во вторникот објави исправки за рекордни 206 безбедносни ранливости што влијаат на неговото софтверско портфолио, вклучувајќи три пропусти кои биле јавно обелоденети во моментот на нивното објавување.

Од вкупно 206 пропусти, 39 се оценети како Критични, а 167 како Важни. Ова вклучува:

63 ранливости за ескалација на привилегии
56 ранливости за далечинско извршување на код (RCE)
30 ранливости за откривање информации
27 ранливости за лажно претставување (spoofing)
20 заобиколувања на безбедносни функции
7 ранливости за одбивање на услуга (DoS)
3 ранливости за манипулација со податоци (tampering)

Исправките вклучуваат и две CVE ранливости кои не се директно поврзани со Microsoft:

CVE-2025-10263 – ранливост за ескалација на привилегии во Windows Kernel
CVE-2026-8863 – заобиколување на безбедносната функција UEFI Secure Boot

Овие се дополнение на повеќе од 350 безбедносни пропусти што Google ги поправи во Chromium, кој се користи во прелистувачот Edge на Microsoft.

На врвот на листата е CVE-2026-45657 (CVSS: 9.8), ранливост од типот use-after-free во Windows Kernel што може да доведе до далечинско извршување на код.

Според Microsoft:

Напаѓач може да ја искористи оваа ранливост со испраќање специјално изработен мрежен сообраќај кон ранлив Windows систем. Доколку нападот успее, злонамерните пакети можат да предизвикаат грешка во обработката на одредени TCP/IP податоци во Windows Kernel, овозможувајќи извршување код со системски привилегии без потреба од најава или интеракција од корисникот.

Други значајни ранливости

CVE-2026-47291 (CVSS: 9.8)
Прелевање или преполнување на цел број (integer overflow/wraparound) во Windows HTTP.sys што му овозможува на неовластен напаѓач да извршува код преку мрежа.

CVE-2026-44815 (CVSS: 9.8)
Stack-based buffer overflow во Windows DHCP Client што овозможува далечинско извршување на код без потреба од автентикација.

Алекс Вовк, извршен директор и коосновач на Action1, изјави за CVE-2026-44815:

Овој пропуст не бара кориснички акредитиви ниту интеракција од корисникот и може да претвори обичен мрежен сообраќај во целосно компромитирање на системот. Напаѓачот може да испрати специјално изработен мрежен сообраќај кон систем конфигуриран за DHCP услуги.

Тој предупреди дека успешна експлоатација може да доведе до:

компромитирање на сервери
инсталирање малициозен софтвер
кражба на податоци
прекин на услуги
понатамошно движење низ мрежата

Поради тоа, системите што обработуваат DHCP сообраќај треба да имаат највисок приоритет за инсталирање на закрпите.

BitLocker ранливости

Microsoft објави и исправка за CVE-2026-45585 (CVSS: 6.8), ранливост што овозможува заобиколување на безбедносните механизми на Windows BitLocker. За неа минатиот месец беше објавен PoC експлоит наречен YellowKey од безбедносниот истражувач Chaotic Eclipse (Nightmare-Eclipse).

Покрај оваа, Microsoft закрпи уште неколку пропусти за заобиколување на безбедносни функции:

CVE-2026-45655 (CVSS: 5.3)
CVE-2026-45658 (CVSS: 7.8)
CVE-2026-50507 (CVSS: 6.8)

Според Microsoft:

Успешен напаѓач може да ја заобиколи функцијата BitLocker Device Encryption на системскиот диск. Напаѓач со физички пристап до уредот може да добие пристап до шифрираните податоци.

Истражувачот Will Dormann смета дека CVE-2026-50507 е поправка за BitLocker нападот наречен bitskrieg, кој овозможува целосен пристап до шифрираните податоци.

Јавно обелоденети Zero-Day ранливости

Следните три пропусти се наведени како јавно објавени zero-day ранливости:

CVE-2026-50507 – BitLocker bypass
CVE-2026-49160 (CVSS: 7.5) – DoS ранливост во HTTP.sys
CVE-2026-45586 (CVSS: 7.8) – ескалација на привилегии во Windows Collaborative Translation Framework (CTFMON)

HTTP2/Bomb

CVE-2026-49160 е поврзана со техниката HTTP2/Bomb, која може за неколку секунди да ги онеспособи веб-серверите.

Во тестовите на компанијата Calif, IIS сервер потрошил 64 GB RAM меморија за околу 45 секунди.

За да го ублажи ризикот, Microsoft воведе нова регистарска поставка наречена MaxHeadersCount, која го ограничува бројот на HTTP/2 и HTTP/3 заглавија (headers).

Според компанијата:

Ограничувањето на HTTP заглавијата може да помогне во заштита од прекумерна потрошувачка на меморија, висока употреба на процесорот и DoS напади.

GreenPlasma

Се претпоставува дека CVE-2026-45586 е исправка за zero-day експлоитот GreenPlasma, кој Chaotic Eclipse неодамна го објави јавно.

MiniPlasma

Јунското ажурирање за 2026 година ја поправа и ранливоста MiniPlasma, која Chaotic Eclipse ја објави како нецелосно поправена верзија на CVE-2020-17103, оригинално закрпена од Microsoft во декември 2020 година.

Microsoft препорачува:

За целосно решавање на ранливоста идентификувана како CVE-2020-17103 и неодамна позната како „MiniPlasma“, препорачуваме инсталирање на ажурирањата за Windows од јуни 2026 година.

Влијанието на вештачката интелигенција

Зголемениот број на откриени ранливости се припишува на користење на методи за откривање пропусти потпомогнати од вештачка интелигенција (AI), тренд за кој Microsoft очекува да продолжи и во иднина.

Сатнам Наранг од Tenable изјави:

Пандорината кутија е отворена, и како што стануваат достапни понапредни AI модели, очекуваме бројот на откриени ранливости постојано да расте, не само за Patch Tuesday.

Дастин Чајлдс од Zero Day Initiative додаде:

Бројот на CVE ранливости што Microsoft ги објави оваа година веќе го надминува вкупниот број CVE ранливости објавени во целата 2018 година.

Тој нагласи дека е извонредно што Microsoft може да произведе толку многу закрпи во еден месец, но истовремено се поставува прашањето дали постојат проблеми со квалитетот поради огромниот обем на поправки.

Нов Defender Zero-Day: RoguePlanet

Покрај закрпите, Chaotic Eclipse објави и PoC експлоит за уште една zero-day ранливост во Microsoft Defender наречена RoguePlanet.

Според истражувачот, станува збор за race condition ранливост која може да се искористи за отворање на Windows Command Prompt со SYSTEM привилегии, што му дава на напаѓачот највисоко ниво на пристап во оперативниот систем.

Извори:

The Hacker News – Microsoft Patches Record 206 Flaws, Including Three Zero-Days and Critical RCE Bugs The Hacker News