L’aggiornamento di sicurezza di giugno di Microsoft, noto come Patch Tuesday, è il più grande mai realizzato dall’azienda, con correzioni per oltre 200 bug, tre dei quali sono zero-day divulgati pubblicamente.
La versione risolve 206 difetti nelle seguenti categorie, secondo The Hacker News: 63 vulnerabilità di elevazione dei privilegi, 20 vulnerabilità di bypass delle funzionalità di sicurezza, 56 vulnerabilità di esecuzione di codice in modalità remota, 30 vulnerabilità di divulgazione di informazioni, 27 vulnerabilità di spoofing, sette vulnerabilità di negazione del servizio e tre vulnerabilità di manomissione. Trentanove bug sono classificati come “critici” e includono esecuzione di codice remoto, elevazione di privilegi e difetti nella divulgazione di informazioni.
Gli aggiornamenti del Patch Tuesday vengono generalmente rilasciati alle 10:00 PT del secondo martedì di ogni mese e dovresti riceverli automaticamente. Puoi aggiornare se non lo ha fatto; controlla lo stato del tuo PC tramite Start > Impostazioni > Windows Update e seleziona Controlla gli aggiornamenti di Windows. Quindi installa tutti gli aggiornamenti disponibili.
Questi tre zero-day divulgati pubblicamente sono stati corretti a giugno
I difetti zero-day sono quelli che sono stati attivamente sfruttati o divulgati pubblicamente prima che venisse rilasciata una correzione ufficiale. In questo caso, i tre zero-day sono stati resi pubblici ma non è noto che siano stati sfruttati in natura.
Il primo zero-day, denominato CVE-2026-45586, è un’elevazione della vulnerabilità dei privilegi nel Windows Collaborative Translation Framework che consente a un utente malintenzionato autorizzato di ottenere privilegi di SISTEMA tramite una risoluzione del collegamento impropria. Secondo BleepingComputerquesto difetto è stato identificato dal ricercatore di sicurezza Nightmare Eclipse.
Cosa ne pensi finora?
Il secondo zero-day (CVE-2026-49160) è una vulnerabilità Denial of Service di HTTP.sys che abusa del protocollo HTTP/2, consentendo agli aggressori di impegnare la memoria e causare problemi di prestazioni o interruzioni. I ricercatori di Calif.io hanno il merito di aver scoperto questo bug.
Infine, CVE-2026-50507 è una funzionalità di sicurezza di Windows Bitlocker che bypassa la vulnerabilità che consentirebbe a un utente malintenzionato locale di accedere a un’unità crittografata utilizzando file su un’unità USB o una partizione EFI. La patch per questo difetto risolve anche una vulnerabilità rivelata pubblicamente da Nightmare Eclipse il mese scorso.
