Četvrtak, jul 16, 2026
NaslovnaStručni/industrijski ITRekordni Patch Tuesday za jun 2026. godine

Rekordni Patch Tuesday za jun 2026. godine

Microsoft je danas objavio ažuriranja softvera koja su zatvorila gotovo 200 sigurnosnih propusta u svojim Windows operativnim sistemima i podržanom softveru, što je rekordni broj ispravki za kompanijin mesečni Patch Tuesday. Od tog broja, skoro tri desetine grešaka dobilo je najtežu oznaku „kritično“, a eksploatacijski kod za najmanje tri slabosti je sada javno dostupan.

Kompanija je u blog postu prošlog meseca navela da njeni inženjeri i sigurnosna zajednica sve više koriste alate veštačke inteligencije za otkrivanje grešaka, što može značiti da će ovako opsežan Patch Tuesday postati norma, rekao je Satnam Narang, viši istraživački inženjer u Tenable.

„Neki istraživači navode da je korišćenje AI među profesionalcima u bezbednosti generalno na oko 90%, tako da nije iznenađujuće što ovaj obim ispravki može postati norma“, rekao je Narang. „Pandorina kutija je otvorena, i kako napredni AI modeli postaju dostupniji, očekujemo da će se ovaj trend nastaviti ne samo za Patch Tuesday.“

Jun mesec donosi i zero-day propuste, uključujući CVE-2026-49160, ranjivost koja omogućava uslugu uskraćivanja na raznim veb serverima, uključujući Microsoft Internet Information Services (IIS). Microsoft tvrdi da je ovaj propust prijavljen od strane OpenAI’s Codex-a.

Dva od zero-day propusta koja su rešena ovog meseca potiču od nedavnih otkrića ranjivosti od strane Nightmare Eclipse, nadimka koji je izabrao istraživač bezbednosti koji je otkrio eksploate za razne Windows slabosti. Jedan od njih, nazvan „GreenPlasma“, koristi slabost u povišenju privilegija unutar Windows Collaborative Translation Framework-a, koji je takođe zakrpljen danas u CVE-2026-45586.

Nightmare Eclipse je takođe prošlog meseca objavio „YellowKey“, eksploat koji omogućava napadaču sa fizičkim pristupom da pregleda šifrovane podatke na Windows BitLocker-u, dok je CVE-2026-50507 zakrpa za propust u povišenju privilegija u BitLocker-u.

Microsoft je prošlog meseca doživeo kritiku na društvenim mrežama nakon što je izjavio u blog postu da razmatra pravne korake protiv istraživača bezbednosti. Kompanija je kasnije pojasnila na Twitter-u da nema nameru da pokreće pravne postupke protiv istraživača, ali će ih prijaviti vlastima ukoliko prekrše zakon. U savetima za CVE-2026-49160 i CVE-2026-50507 ne navode se imena istraživača, već samo da „Microsoft prepoznaje trud onih u bezbednosnoj zajednici koji nam pomažu da zaštitimo korisnike kroz koordinirano otkrivanje ranjivosti.“

Nightmare Eclipse tvrdi da je bivši zaposleni u Microsoft-u, iako kompanija nije odgovorila na pitanja o ovom navodu. Rapid7 je napomenuo da je nedavni blog post od strane Nightmare Eclipse sadržavao sliku Alberta Weskera, lika iz video igre Resident Evil koji je nekada radio kao istraživač za tehnološku kompaniju pre nego što je postao zločinac.

Nightmare Eclipse se obavezao da će objaviti još zero-day eksploate za Windows u planiranom „razornom“ izdanju za 14. jul (isti dan kada je zakazan sledeći Patch Tuesday). Odmah nakon objavljivanja Microsoft zakrpa danas, istraživač je objavio eksploat za ono što tvrde da je zero-day propust u Windows Defender-u.

Dok 200 ranjivosti može biti rekord za Patch Tuesday, stvarni broj sigurnosnih propusta koje je Microsoft rešio ovog meseca je mnogo veći, rekao je Adam Barnett iz Rapid7-a. „Do sada ovog meseca, Microsoft je obezbedio zakrpe za 360 ranjivosti u pregledačima, što je mnogo više nego što je bilo uobičajeno u bilo kom mesecu prethodnih godina“, napisao je Barnett. „Kao i obično, greške u pregledačima nisu uključene u broj zakrpa u Patch Tuesday.“

Microsoft je takođe zakrpio zero-day ranjivost u Visual Studio Code koja omogućava napadačima da ukradu GitHub tokene jednim klikom. Kompanija je bila primorana da objavi hitnu ispravku za ovu grešku 3. juna, nakon što je istraživač objavio instrukcije za njeno eksploatisanje. Istraživač je rekao da nije želeo da sarađuje sa Microsoft-om zbog nedavne situacije u kojoj je Redmond tiho zakrpila grešku koju je prijavio bez pružanja kredita ili priznanja.

Microsoft se suočavao sa sopstvenim internim zero-day hitnim situacijama prošle nedelje, nakon što je najmanje 72 javna koda repozitorijuma kompanije zaraženo varijantom Shai-Hulud crva. Istraživači su otkrili da su svi pogođeni paketi bili povezani sa Microsoft zvaničnim Azure Durable Task SDK, koji je takođe napadnut u maju.

Ostali veliki proizvođači softvera takođe šalju velike pakete ažuriranja ovog meseca. Adobe je objavio ažuriranja za rešavanje velikog broja kritičnih ranjivosti u raznim proizvodima, uključujući Adobe Experience Manager, Acrobat Reader i Cold Fusion. 3. juna, Google je rešio neverovatnih 429 ranjivosti u najnovijem ažuriranju Chrome pregledača (Chrome automatski preuzima ažuriranja, ali obično je potrebno potpuno ponovo pokrenuti pregledač da bi se instalirala).

Kao i uvek, razmislite o pravljenju rezervnih kopija podataka pre nego što primenite ažuriranja operativnog sistema i javite nam ako naiđete na probleme sa zakrpama ovog meseca.

Za dalje čitanje:

Microsoft-ov vodič za ažuriranje bezbednosti

Action1-ov pregled Patch Tuesday

SANS Internet Storm Center beleške o Patch Tuesday

RELATED ARTICLES

POSTAVI ODGOVOR

молимо унесите свој коментар!
овдје унесите своје име

Popularno