[TLP:CLEAR] Microsoft opravuje přes 200 zranitelností v rámci Patch Tuesday
Microsoft v rámci červnového „Patch Tuesday“ vydal opravy pro více než 200 zranitelností [1][2]. Nejzávažnější z nich jsou popsány níže, úplný přehled všech zranitelností včetně dostupných oprav je uveden na [1] v detailech jednotlivých záznamů.
Neautentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu integer overflow/wraparound v komponentě Windows HTTP.sys umožněno prostřednictvím speciálně upraveného síťového paketu spustit libovolný kód na zranitelném systému [3].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Více informací:
- CVE-2026-47291 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
- CWE-190: Integer Overflow or Wraparound at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 6. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu use after free v jádře Windows umožněno prostřednictvím speciálně upraveného síťového provozu spustit libovolný kód, potenciálně se systémovými oprávněními [4].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Více informací:
- CVE-2026-45657 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
- CWE-416: Use After Free at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 6. 2026.
Neautentizovanému vzdálenému útočníkovi je ve Windows DHCP Client Service umožněno prostřednictvím speciálně upraveného DHCP provozu spustit libovolný kód na zranitelném systému [5].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Více informací:
- CVE-2026-44815 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-121: Stack-based Buffer Overflow at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 6. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli chybné správě paměti v Remote Desktop Client umožněno po připojení uživatele ke škodlivému RDP serveru spustit libovolný kód na klientském systému [6].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Více informací:
- CVE-2026-42985 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 6. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli nekontrolované spotřebě prostředků při zpracování HTTP/2 požadavků v HTTP.sys umožněno vykonat útok DoS [7].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C
Více informací:
- CVE-2026-49160 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 6. 2026.
Autentizovanému lokálnímu útočníkovi je kvůli zranitelnosti typu link-following ve Windows Collaborative Translation Framework umožněno eskalovat svá oprávnění a získat oprávnění SYSTEM [8].
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Více informací:
- CVE-2026-45586 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-59: Improper Link Resolution Before File Access ('Link Following') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 6. 2026.
Neautentizovanému lokálnímu útočníkovi s fyzickým přístupem k zařízení je prostřednictvím zranitelnosti v ochraně BitLocker umožněno obejít šifrování disku, zejména u systémů spoléhajících pouze na TPM-only ochranu a získat přístup k šifrovaným datům na systémovém úložišti [9].
CVSS: CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C
Více informací:
- CVE-2026-50507 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-306: Missing Authentication for Critical Function at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 6. 2026.
Autentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu stack-based buffer overflow ve Windows Active Directory Domain Services umožněno prostřednictvím speciálně upravených vstupů spustit libovolný kód [10].
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Více informací:
- CVE-2026-45648 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-121: Stack-based Buffer Overflow at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 6. 2026.
Neautentizovanému lokálnímu útočníkovi je kvůli zranitelnosti typu type confusion v Microsoft Office umožněno prostřednictvím speciálně upraveného obsahu zpracovaného aplikacemi Outlook/Word spustit libovolný kód [11].
CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Více informací:
- CVE-2026-45456 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-843: Access of Resource Using Incompatible Type ('Type Confusion') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 6. 2026.
Autentizovanému lokálnímu útočníkovi je kvůli zranitelnosti typu path traversal v Azure Kubernetes Service umožněno prostřednictvím nedůvěryhodného kontejneru s host network konfigurací zasílat speciálně upravené požadavky na host-level službu a lokálně spustit škodlivý kód [12].
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
Více informací:
- CVE-2026-32193 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 6. 2026.
Odkazy
- [1] https://msrc.microsoft.com/update-guide/releaseNote/2026-Jun
- [2] https://blog.talosintelligence.com/microsoft-patch-tuesday-for-june-2026-snort-rules-and-prominent-vulnerabilities/
- [3] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-47291
- [4] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-45657
- [5] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-44815
- [6] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-42985
- [7] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-49160
- [8] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-45586
- [9] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-50507
- [10] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-45648
- [11] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-45456
- [12] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-32193
Za CESNET-CERTS Michaela Jarošová dne 10. 6. 2026.
