Patch Tuesday i overdrive: 206 CVE’er peger på et nyt normalniveau
Man skal ikke have læst mange artikler for at finde forklaringen bag den seneste rekord over antal rettede sårbarheder i Microsofts Patch Tuesday. Med rettelser til 206 unikke CVE’er er der tale om den største enkeltstående opdatering til dato og et markant spring fra den tidligere rekord på 175 CVE’er i oktober 2025. Ifølge både Microsoft og eksterne forskere er forklaringen ikke en enkelt fejlbehæftet komponent, men en mere grundlæggende ændring i måden, sårbarheder opdages på.
Det skriver Dark Reading.
AI-baserede analyseværktøjer gør det muligt at gennemtrawle komplekse kodebaser hurtigere og mere systematisk end tidligere. Resultatet er en støt voksende strøm af identificerede fejl, som samles i månedlige opdateringer med et omfang, der for få år siden ville have været usædvanligt.
0-dagssårbarheder og forhøjet risiko
Blandt de 206 CVE’er er tre 0-dagssårbarheder, som allerede var offentligt kendt, da opdateringen blev udsendt. Samtidig har Microsoft markeret 13 sårbarheder som “Exploitation More Likely”, hvilket signalerer en øget risiko for hurtig udnyttelse. Derudover indeholder opdateringen 32 kritiske sårbarheder, heraf fem med CVSS-score på 9,0 eller derover.
Som i tidligere måneder dominerer to typer fejl: remote code execution (RCE) og elevation of privilege (EoP). Andre kategorier som denial of service, datalæk og omgåelse af sikkerhedsfunktioner fylder mindre, men er stadig til stede i opdateringen.
De tre 0-dagssårbarheder omfatter blandt andet CVE-2026-45586, en EoP-fejl i Windows Collaborative Translation Framework, der kan give SYSTEM-rettigheder. Hertil kommer en denial-of-service-fejl i Windows.sys samt en sårbarhed, der gør det muligt at omgå BitLocker.
Kritiske RCE-fejl med bred eksponering
Flere researchere peger på enkelte CVE’er som særligt presserende. To af dem – CVE-2026-47291 i Windows HTTP.sys og CVE‑2026‑44815 i Windows DHCP Client – har begge en CVSS-score på 9,8 og kan udnyttes uden autentifikation og uden brugerinteraktion.
HTTP.sys-fejlen vurderes som potentielt ”wormable”, mens DHCP Client-sårbarheden har et meget stort angrebsareal, da tjenesten kører på stort set alle Windows-systemer. Kombinationen af høj alvorlighed og bred udbredelse gør disse fejl attraktive for angribere, når tekniske detaljer først bliver almindeligt kendt.
Derudover fremhæves flere kritiske RCE-fejl i Windows Graphics Component og Windows Deployment Services. I mindst ét tilfælde kan en enkelt forhåndsvisning være nok til at udløse kodeeksekvering.
Kendte sårbarheder uden rettelser
Juni-opdateringen indeholder ikke rettelser til en række sårbarheder, som for nylig blev offentliggjort af sikkerhedsresearcheren kendt som Nightmare Eclipse. De såkaldte YellowKey-, GreenPlasma- og MiniPlasma-sårbarheder muliggør blandt andet omgåelse af sikkerhedsmekanismer og privilegieeskalering. Fraværet understreger spændingen mellem tempoet i offentliggørelse og leverandørernes faste patch-cyklusser.
Volumen som vilkår
Microsoft har tidligere advaret om, at opdateringer med over 100 CVE’er kan blive normalen. Flere eksperter forventer, at Patch Tuesday fremover vil ligge stabilt på et trecifret niveau, efterhånden som AI sænker barriererne for sårbarhedsopdagelse.
Samtidig peger historiske data på, at kun en begrænset del af de mange CVE’er ender med at blive aktivt udnyttet i større skala. Antallet af kendt udnyttede sårbarheder har de seneste år ligget relativt stabilt, også selv om det samlede antal offentliggjorte CVE’er stiger. Fx. viser servicen Vulnerability Lookup's statistikside, at ca. 10 pct. af de offentliggjorte sårbarheder udnyttes, ca 7200.
For sikkerhedsteams betyder udviklingen ikke nødvendigvis, at alt skal patches hurtigere, men at overblik og prioritering bliver stadig mere afgørende. Juni 2026 Patch Tuesday fremstår derfor mindre som en undtagelse og mere som en indikator på et varigt ændret arbejdsvilkår, slutter Dark Reading.