Microsoft Patch Tuesday – vydání 24: rekordních 198 záplat, tři zero-days a červovitá chyba Windows Kernel
Červnové Patch Tuesday přineslo 198 opravených zranitelností – nejrozsáhlejší vydání v historii programu. Součástí jsou tři zero-day zranitelnosti, které byly veřejně známy ještě před vydáním záplat, a kritická chyba v jádru Windows s hodnocením CVSS 9.8, kterou lze šířit automaticky ze stroje na stroj bez nutnosti přihlášení.
Aktualizace z 9. června 2026 řeší 198 CVE identifikátorů, z nichž 32 je hodnoceno jako kritických a 166 jako důležitých. Předchozí rekord pocházel z října 2025, kdy Microsoft opravil 167 zranitelností. Rozsah vydání pokrývá desítky produktových oblastí od Windows Kernel, HTTP.sys a Remote Desktop Client přes Microsoft Exchange a Office až po Azure Stack Edge, Microsoft Defender a Visual Studio Code.
Nejnaléhavější položkou je CVE-2026-45657, use-after-free chyba v jádru Windows v komponentě zpracovávající TCP/IP provoz. Dosáhla CVSS skóre 9.8 a je klasifikována jako červovitá – útočník ji může zneužít na dálku, bez přihlašovacích údajů a bez jakékoli interakce uživatele, a potenciálně se šířit mezi systémy v síti. Microsoft vydal záplatu ve standardní červnové aktualizaci; okamžitá aplikace je nezbytná zejména pro systémy vystavené do sítě nebo přístupné z internetu.
Z trio zero-day zranitelností – tedy těch, které byly veřejně zveřejněny nebo aktivně zneužívány před vydáním záplaty – vyniká CVE-2026-50507, bezpečnostní obejití BitLockeru označované jako Bitskrieg. CVSS skóre 6.8 a nutnost fyzického přístupu k zařízení jej staví níže v žebříčku naléhavosti, nicméně Microsoft hodnotí jeho zneužití jako pravděpodobné. Útočník s fyzickým přístupem dokáže obejít šifrování celého disku BitLocker Device Encryption a získat přístup k chráněným datům. Zranitelnost CVE-2026-49160 v komponentě HTTP.sys je implementací již dříve popsané techniky HTTP/2 Bomb: útočník odesláním speciálně sestavených HTTP/2 požadavků způsobí vyčerpání paměti serveru během sekund. Záplata přidává do registru Windows nastavení MaxHeadersCount omezující počet hlaviček v HTTP/2 a HTTP/3 požadavcích. Třetí zero-day, CVE-2026-45586, umožňuje útočníkovi s přihlášením k systému eskalovat oprávnění na úroveň SYSTEM prostřednictvím chyby ve Windows Collaborative Translation Framework (CTFMON) – součásti zajišťující hlasové a rukopisné rozpoznávání.
Výjimečnou pozornost si zaslouží klaster zranitelností v Remote Desktop Client: celkem 11 CVE, z nichž 7 je hodnoceno jako kritických. Útok vyžaduje, aby se oběť připojila k útočníkem kontrolovanému RDP serveru, kde přetečení haldy vede ke vzdálené spuštění kódu. Microsoft hodnotí CVE-2026-42985 jako pravděpodobně zneužitelnou. Prostředí s intenzivním využitím vzdálené plochy, typicky call centra, vzdálená pracoviště nebo správa serverů přes RDP, by měla záplatu aplikovat s nejvyšší prioritou.
Kromě záplat vydaných 9. června aktualizace retrospektivně pokrývá dvě zranitelnosti vydané out-of-band. CVE-2026-41091 v Microsoft Defender (CVSS 7.8, EoP), označovaný jako RedSun a zveřejněný bezpečnostním výzkumníkem Chaotic Eclipse 15. dubna 2026, byl již přidán do katalogu CISA KEV 20. května. CVE-2026-45585, druhá BitLocker bypass zranitelnost (YellowKey, CVSS 6.8), jejíž proof-of-concept byl zveřejněn 13. května, je také součástí červnového balíku.
Pro organizace s pravidelným patch cyklem platí priorita: CVE-2026-45657 (červovitá TCP/IP, CVSS 9.8), kritické RCE v Remote Desktop Client a záplata HTTP.sys (CVE-2026-49160) jsou kandidáty pro okamžitou aplikaci mimo standardní okno. Ostatní záplaty doporučujeme nasadit v nejbližším pravidelném cyklu.
Další články
Apple a EU vedou spor o Siri AI: evropští uživatelé iPhonů přicházejí o funkce kvůli výkladu DMA
Nové zranitelnosti v katalogu CISA KEV – vydání 24b
