Júnový Microsoft Patch Tuesday opravil šesť zero-day zraniteľností, jedna je aktívne zneužívaná

Spoločnosť Microsoft vydala v júny 2026 balík opráv pre portfólio svojich produktov opravujúci 203 zraniteľností, z ktorých 33 spoločnosť označila ako kritické. Tieto umožňujú vzdialene vykonávať kód, získať citlivé informácie a eskalovať oprávnenia. Šesť opravených zraniteľností je typu zero-day a jedna z nich je aktívne zneužívaná. Tieto umožňujú eskalovať oprávnenia útočníka, obchádzať bezpečnostné prvky, zneprístupniť službu a vykonávať techniky spoofingu.

Zraniteľné systémy:

• Microsoft Exchange Server 2016 Cumulative Update 23
• Microsoft Exchange Server 2019 Cumulative Update 14
• Microsoft Exchange Server 2019 Cumulative Update 15
• Microsoft Exchange Server Subscription Edition RTM
• Windows 10 Version 1607 for 32-bit Systems
• Windows 10 Version 1607 for x64-based Systems
• Windows 10 Version 1809 for 32-bit Systems
• Windows 10 Version 1809 for x64-based Systems
• Windows 10 Version 21H2 for 32-bit Systems
• Windows 10 Version 21H2 for ARM64-based Systems
• Windows 10 Version 21H2 for x64-based Systems
• Windows 10 Version 22H2 for 32-bit Systems
• Windows 10 Version 22H2 for ARM64-based Systems
• Windows 10 Version 22H2 for x64-based Systems
• Windows 11 Version 23H2 for ARM64-based Systems
• Windows 11 Version 23H2 for x64-based Systems
• Windows 11 Version 24H2 for ARM64-based Systems
• Windows 11 Version 24H2 for x64-based Systems
• Windows 11 Version 25H2 for ARM64-based Systems
• Windows 11 Version 25H2 for x64-based Systems
• Windows 11 Version 26H1 for ARM64-based Systems
• Windows 11 version 26H1 for x64-based Systems
• Windows Server 2012
• Windows Server 2012 (Server Core installation)
• Windows Server 2012 R2
• Windows Server 2012 R2 (Server Core installation)
• Windows Server 2016
• Windows Server 2016 (Server Core installation)
• Windows Server 2019
• Windows Server 2019 (Server Core installation)
• Windows Server 2022
• Windows Server 2022 (Server Core installation)
• Windows Server 2025
• Windows Server 2025 (Server Core installation)

Opis činnosti:

CVE-2026-42897 (CVSS skóre 8,1)

Aktívne zneužívaná vysoko závažná zraniteľnosť Microsoft Exchange Server súvisí s nevhodnou sanitizáciou vstupov pri generovaní webových stránok a umožňuje útoky typu XSS. Neautorizovaný útočník ju môže vzdialene zneužiť na spoofingové útoky. Môže napríklad poslať špeciálne vytvorený e-mail, ktorý po otvorení v OWA môže spôsobiť vykonanie kódu JavaScript v kontexte prehliadača.

CVE-2026-45586 (CVSS skóre 7,8)

Vysoko závažná zero-day zraniteľnosť vo Windows Collaborative Translation Framework (CTFMON) súvisí s neošetreným parametrom súvisiacim s prístupom k súborom. Lokálny útočník s nízkymi oprávneniami ju môže zneužiť na eskalovanie svojich privilégií až na úroveň SYSTEM.

CVE-2026-49160 (CVSS skóre 7,5)

Vysoko závažná zero-day zraniteľnosť HTTP.sys môže spôsobiť vyčerpanie systémových prostriedkov. Zraniteľnosť súvisí so spôsobom, akým služba spracúva prichádzajúce požiadavky protokolu HTTP/2. Opravná aktualizácia totiž prináša nový parameter MaxHeadersCount, ktorý pomôže problém mitigovať. Vzdialený neautorizovaný útočník môže chybu zabezpečenia zneužiť na spôsobenie nedostupnosti služby.

CVE-2026-45585 (CVSS skóre 6,8)

Windows BitLocker obsahuje zero-day zraniteľnosť, ktorá vyplýva z nevhodného spôsobu ošetrenia špeciálnych znakov využívaných v systémových príkazoch. Útočník bez oprávnení, no s fyzickým prístupom ku zraniteľnému zaradeniu, ju môže zneužiť pre obídenie šifrovania systémového disku zariadenia, čím získa prístup ku šifrovaným dátam. Zariadenia využívajúce kombináciu TPM a PIN nie sú zraniteľné. Zraniteľnosť dostala označenie „YellowKey“.

CVE-2026-50507 (CVSS skóre 6,8)

Druhá zero-day zraniteľnosť Windows BitLocker, ktorá vyplýva z absentujúcej autentifikácie pre nešpecifikovanú kritickú funkciu. Útočník bez oprávnení, no s fyzickým prístupom ku zraniteľnému zaradeniu, ju môže zneužiť pre získanie prístupu k šifrovaným údajom. Niektoré zdroje uvádzajú, že sa jedná o zraniteľnosť známu ako „bitskrieg“.

CVE-2020-17103 (CVSS skóre 7,0)

Windows Cloud Files Mini Filter Driver obsahuje niekoľko rokov starú zero-day zraniteľnosť, ktorá umožňuje lokálnemu útočníkovi s nízkymi oprávneniami eskalovať svoje oprávnenia na úroveň SYSTEM. Zraniteľnosť je známa ako „Mini-Plasma“.

Možné škody:

• Eskalácia oprávnení
• Nedostupnosť služby (DoS)
• Obídenie bezpečnostného prvku
• Únik citlivých informácií
• Spoofing

Odporúčania:

Administrátorom a používateľom zraniteľných verzií odporúčame bezodkladne vykonať aktualizácie dostupné priamo zo systému alebo zo stránky výrobcu. Pre konkrétny prehľad si treba vo filtroch zvoliť mesiac október a Mode „Update Tuesday“. Bližšie informácie nájdete aj tu.

Odkazy:

• https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2026-patch-tuesday-fixes-6-zero-days-200-flaws/
• https://msrc.microsoft.com/update-guide/en-us
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45586
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-49160
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45585
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50507
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17103
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897