Microsoft zakrpao 200 sigurnosnih propusta i tri javno objavljene zero-day ranjivosti

Microsoft je u lipanjskom Patch Tuesdayju objavio sigurnosna ažuriranja za 200 propusta i tri javno objavljene zero-day ranjivosti. Među zakrpama je 33 označeno kao kritično, a većina tih kritičnih problema odnosi se na udaljeno izvršavanje koda, dok su među njima i propusti za eskalaciju ovlasti te jedan za otkrivanje informacija.

BleepingComputer navodi da se ovogodišnji zbroj odnosi samo na zakrpe koje je Microsoft izdao tog dana, pa nisu uključeni propusti iz Marinera, Azure HorizonDB-a, Microsoft Copilota, Copilot Chata, M365 Copilota, Microsoft Exchange Onlinea i Microsoft Grapha, koji su popravljeni ranije tijekom mjeseca. U pregledu nisu uključeni ni deseci stotina ranjivosti u Edgeu i Chromiumu koje je Google zakrpao tijekom mjeseca.

Od tri javno objavljene zero-day ranjivosti, Microsoft kaže da nijedna nije poznata kao iskorištena u napadima. Dvije od njih su posebno izdvojene kao već objavljene ranjivosti: CVE-2026-45586, propust u Windows Collaborative Translation Frameworku (CTFMON) koji može omogućiti eskalaciju ovlasti do SYSTEM privilegija, te CVE-2026-49160, HTTP.sys propust za uskraćivanje usluge u HTTP/2 protokolu.

Za CTFMON propust Microsoft navodi da se radi o nepravilnom razrješavanju poveznica prije pristupa datoteci, što autoriziranom napadaču može omogućiti lokalnu eskalaciju ovlasti. Microsoft je za ranjivost naveo anonimnog istraživača, dok BleepingComputer piše da je riječ o zakrpi za zero-day pod nazivom GreenPlasma, koji je ranije objavio sigurnosni istraživač Nightmare Eclipse. Taj je istraživač, prema istom izvoru, objavio više Windows zero-day ranjivosti u prosvjedu zbog postupanja Microsofta prema programima bug bountyja i objave ranjivosti.

Za HTTP.sys ranjivost Microsoft navodi da se radi o nekontroliranoj potrošnji resursa u HTTP/2 koja neovlaštenom napadaču može omogućiti uskraćivanje usluge preko mreže. Istraživači su, prema BleepingComputeru, utvrdili da napad može znatno povećati potrošnju memorije na pogođenim poslužiteljima, a napadači bi mogli zadržati resurse zauzetima manipuliranjem postavkama flow-controla. Microsoft je uz zakrpu uveo i novu registracijsku postavku MaxHeadersCount kako bi se ograničio broj zaglavlja u HTTP/2 i HTTP/3 zahtjevima koje prihvaća web poslužitelj, uz pripadajući vodič za uporabu te postavke.