Sign in Subscribe
Windows

Microsoft: Rekordot döntő 206 biztonsági hibát javított – köztük három aktívan kihasznált zero‑dayt

ITteam

2 min read
Share
Microsoft: Rekordot döntő 206 biztonsági hibát javított – köztük három aktívan kihasznált zero‑dayt
Photo by Алекс Арцибашев / Unsplash

A Microsoft júniusi frissítése minden eddiginél nagyobb volumenű biztonsági csomagot hozott: összesen 206 sebezhetőséget foltoztak be a vállalat termékeiben, köztük három nyilvánosan ismert és aktívan kihasznált zero‑day hibát . Ez a szám nemcsak kiemelkedő, hanem jól mutatja, milyen tempóban változik a kiberbiztonsági környezet – és milyen mértékben járul hozzá ehhez az MI‑alapú sérülékenységkutatás térnyerése.

Miért különösen fontos ez a frissítés?

A 206 hibából 39 kritikus, 167 pedig magas súlyosságú besorolást kapott . A javítások között találunk:

  • jogosultság‑kiterjesztési hibákat (63),
  • távoli kódfuttatási lehetőségeket (56),
  • információszivárgási problémákat (30),
  • hamisítási sebezhetőségeket (27),
  • biztonsági funkció megkerülését lehetővé tevő hibákat (20) .

Ez a lista önmagában is jelzi, hogy a támadók számára rengeteg potenciális belépési pont zárult be.

A legveszélyesebb hibák röviden

1. Windows Kernel RCE – CVE‑2026‑45657 (CVSS 9.8)

Egy „use‑after‑free” típusú hiba, amely lehetővé teszi, hogy a támadó speciálisan kialakított hálózati forgalommal rendszerszintű kódot futtasson, felhasználói interakció nélkül .

2. HTTP.sys túlcsordulás – CVE‑2026‑47291 (CVSS 9.8)

Egy integer overflow teszi lehetővé a távoli kódfuttatást a Windows HTTP.sys komponensben .

3. DHCP kliens puffertúlcsordulás – CVE‑2026‑44815 (CVSS 9.8)

Ez a hiba különösen veszélyes, mert nem igényel hitelesítést vagy felhasználói műveletet, és teljes rendszerkompromittálást eredményezhet .

BitLocker megkerülések és a „MiniPlasma” történet folytatása

A frissítés több BitLocker‑rel kapcsolatos biztonsági funkció‑megkerülést is javít, köztük a CVE‑2026‑45585 hibát, amelyhez a Chaotic Eclipse kutató korábban PoC exploitot is publikált („YellowKey”) .

A Microsoft ezen felül lezárta a „MiniPlasma” néven ismert, korábban hiányosan javított sebezhetőséget is, amely a 2020‑as CVE‑2020‑17103 hibához kapcsolódik .

AI: a sérülékenységkutatás új korszaka

A cikk egyik legérdekesebb megállapítása, hogy a javítások számának drasztikus növekedése mögött az MI‑alapú sebezhetőség‑felderítés áll. A szakértők szerint ez a trend csak erősödni fog:

  • „Pandora szelencéje kinyílt” – fogalmaz Satnam Narang, a Tenable kutatója .
  • A TrendAI Zero Day Initiative vezetője szerint a Microsoft által idén kiadott CVE‑k száma már most meghaladja a 2018‑as teljes éves mennyiséget .

Az MI tehát nemcsak a védekezést, hanem a támadási felület feltérképezését is felgyorsítja – ami egyszerre áldás és kihívás.

Mit jelent ez a rendszergazdáknak és vállalatoknak?

  1. A frissítések telepítése kritikus fontosságú, különösen a hálózati szolgáltatásokat érintő hibák esetében (DHCP, HTTP.sys).
  2. A BitLocker‑rel kapcsolatos javítások minden olyan szervezet számára kiemelten fontosak, ahol hordozható eszközökön tárolnak érzékeny adatokat.
  3. A Zero‑Day fenyegetések száma nő, így a patch‑menedzsmentnek gyorsabbnak és proaktívabbnak kell lennie.
  4. Az MI‑alapú támadások és sérülékenységkutatás miatt a biztonsági csapatoknak új eszközökre és stratégiákra lesz szükségük.

Összegzés

A Microsoft júniusi frissítése nem csupán egy újabb Patch Tuesday – hanem egy korszakváltás jele. A több mint 200 javítás, a három aktív zero‑day és az MI által felerősített sérülékenységkutatás mind azt mutatja, hogy a kiberbiztonság tempója tovább gyorsul. A vállalatoknak és felhasználóknak ehhez alkalmazkodniuk kell, mégpedig gyorsan.

A blogposzt alapjául szolgáló eredeti cikk a The Hacker News oldalán jelent meg:

„Microsoft Patches Record 206 Flaws, Including Three Zero-Days and Critical RCE Bugs”
Megjelenés dátuma: 2026. június 10.

Íratkozzon fel a hasonló hírekre

Enter your email
Subscribe