Rekordernes tid er slet ikke forbi
Det er snart ikke nogen nyhed længere. At AI er god til at finde sårbarheder. Men 622 rettelser på en Patch Tuesday er alligevel mange. Vildt mange. Så mange, at den seneste rekord er mere end tredoblet. Og vi skal tilmed ikke længere tilbage end til juni 2026, hvor antallet var 206. Også dengang var det en rekord.
Dette står at læse i en lang række medier, herunder Cyberscoop, der med overskriften "the mother of all vulnerability loads" atter har fundet den store overskrifter frem her den anden tirsdag i måneden.
Ifølge flere sikkerhedsresearchere er udviklingen ikke nødvendigvis tegn på dårligere softwarekvalitet, men snarere på markant forbedrede værktøjer til at finde fejl. Microsoft har for nylig varslet, at virksomheden forventer en kraftig stigning i antallet af identificerede sårbarheder som følge af brugen af AI-baserede analyseværktøjer.
AI finder fejl i hidtil uset tempo
Bag den eksplosive vækst ligger blandt andet Microsofts egen scanningsteknologi, Multi-model Agentic Scanning Harness, også kaldet MDASH. Platformen anvender flere AI-modeller til systematisk at gennemgå kode og identificere potentielle sikkerhedsproblemer.
Resultatet er, at fejl, som tidligere kunne forblive skjulte i årevis, nu bliver fundet i langt større volumen.
Flere analytikere vurderer, at udviklingen kun er begyndelsen. Med det nuværende tempo kan Microsoft ende med at registrere mere end 3.000 CVE-numre i løbet af 2026. Til sammenligning var den hidtidige årsrekord 1.245 registrerede sårbarheder i 2020.
Den kraftige stigning ændrer samtidig på måden, organisationer bør tolke sårbarhedstal på. Et højt antal offentliggjorte fejl betyder ikke automatisk, at risikoniveauet stiger tilsvarende. Mange af de identificerede sårbarheder har begrænset praktisk betydning eller kræver særlige forhold for at kunne udnyttes.
To nul-dage allerede under angreb
Blandt juli måneds rettelser indgår dog også sårbarheder med en mere alvorlig karakter.
Microsoft oplyser, at to 0-dagssårbarheder allerede blev udnyttet aktivt, før rettelserne blev offentliggjort. Det drejer sig om CVE-2026-56155 i Active Directory Federation Services og CVE-2026-56164 i Microsoft SharePoint Server. Begge fejl kan føre til eskalering af privilegier og give en angriber højere adgangsniveauer på kompromitterede systemer.
Ud af de 622 sårbarheder blev 63 klassificeret som kritiske. Fordelingen viser samtidig, hvor bredt opdateringsarbejdet spænder:
- 416 sårbarheder i Windows
- 82 sårbarheder i Microsoft Office
- 46 sårbarheder i Microsoft Edge
- Et stort antal øvrige produkter og tjenester
Ifølge sikkerhedsresearchere er listen over berørte produkter blandt de mest omfattende, der er set i en Patch Tuesday-udgivelse.
Rekorden kan hurtigt blive slået igen
Mens juliudgivelsen allerede har skrevet sig ind i historiebøgerne som den største Patch Tuesday nogensinde, peger meget på, at lignende tal kan blive mere almindelige i takt med, at AI-værktøjer modnes.
For sikkerhedsansvarlige betyder det, at antallet af offentliggjorte sårbarheder i stigende grad bliver et mål for effektiv fejlfinding snarere end et direkte mål for usikker software. Men når mere end 600 sårbarheder lander på én gang, bliver prioritering af patching og risikovurdering næppe en opgave, der bliver mindre krævende med det første, slutter Cyberscoop.
Læs mere
- https://cyberscoop.com/microsoft-patch-tuesday-july-2026/
- https://securityaffairs.com/195347/security/patch-tuesday-security-updates-for-july-2026-the-largest-update-ever-621-cves-in-one-month.html
- https://blog.talosintelligence.com/microsoft-patch-tuesday-july-2026/
- https://www.bleepingcomputer.com/news/microsoft/microsoft-july-2026-patch-tuesday-fixes-massive-570-flaws-3-zero-days/