Přejít na hlavní obsah
CIAD

Microsoft vydal rekordní balík záplat: 206 opravených chyb, jedna aktivně zneužívaná

Microsoft v červnu 2026 opravil rekordních 206 bezpečnostních chyb. Jedna je aktivně zneužívaná, jiná dosáhla maximálního skóre závažnosti 10,0.

Microsoft vydal 10. června 2026 v rámci svého pravidelného Patch Tuesday (měsíčního vydávání bezpečnostních záplat) záplaty pro rekordních 206 zranitelností, z nichž 39 bylo označeno jako kritických. Jde o největší balík záplat od chvíle, kdy Microsoft tento program v říjnu 2003 spustil. Pro firmy to znamená jedno: aktualizovat rychle a chytře, ne vše najednou.

Proč je to důležité právě teď

Dva problémy vyžadují okamžitou pozornost.

První je chyba v Microsoft Defenderu (antivirovém a bezpečnostním nástroji Microsoftu, označená jako CVE-2026-41091) se skóre závažnosti CVSS 7,8. CVSS je mezinárodní stupnice od 0 do 10, kde vyšší číslo znamená větší nebezpečí. Tato zranitelnost umožňuje útočníkovi získat na napadeném počítači vyšší oprávnění, než na jaká má nárok, tedy tzv. eskalaci privilegií. Klíčové je, že tato chyba je aktivně zneužívána: v době vydání záplaty existovaly zdokumentované případy skutečných útoků.

Druhý závažný problém je chyba v komponentě HTTP.sys (součást Windows, která zpracovává síťovou komunikaci přes protokol HTTP; označena jako CVE-2026-45657) s maximálním CVSS skóre 10,0. Útočník ji může zneužít po síti bez jakékoli spolupráce uživatele, což z ní dělá prioritní cíl pro záplatování.

Co dalšího balík obsahuje

Záplaty zahrnují 11 kritických zranitelností typu RCE (Remote Code Execution, tedy vzdálené spuštění libovolného kódu) pro Remote Desktop Client a 3 kritické RCE pro Hyper-V (virtualizační platforma Microsoftu). Chyby v Hyper-V jsou zvlášť citlivé, protože mohou umožnit únik kódu z virtuálního stroje do hostitelského systému, tzv. VM escape. Celkem bylo opraveno 63 zranitelností eskalace privilegií. Tři z opravených chyb byly veřejně známy ještě před vydáním záplat, tzv. zero-day situace: útočníci měli informace o chybě, aniž byl dostupný opravný prostředek.

Co to znamená pro vaši firmu

Rozsah 206 záplat v jednom cyklu přesahuje obvyklou kapacitu záplatovacích procesů mnoha organizací. Firmy, které před nasazením záplat provádějí testování, čelí dilematu: rychlé nasazení snižuje expozici aktivně zneužívané zranitelnosti, ale zkracuje testovací okno pro kritické servery.

Nejvíce ohrozit může tento cyklus organizace provozující Remote Desktop Services jako vstupní bod do sítě a prostředí s Hyper-V virtualizací. Výjimka se netýká jen serverů na místě: cloudová a hybridní prostředí sdílející komponenty Windows Server podléhají stejným záplatám.

Co z toho plyne

  • CVE-2026-41091 (Defender, aktivně zneužívaná) a CVE-2026-45657 (HTTP.sys, CVSS 10,0) záplatovat přednostně mimo standardní cyklus, pokud to architektura dovoluje.
  • Prostředí s Hyper-V prověřit z hlediska možnosti VM escape: tři kritické RCE jsou dostatečný důvod pro mimořádný záplatovací okruh.
  • Rozsah 206 záplat v jednom cyklu je argument pro zavedení nebo revizi přístupu k záplatování podle míry rizika, kde CVSS skóre a aktivní zneužití jsou primárními kritérii.
  • Tři veřejně známé zero-day před vydáním záplat připomínají, že sledování bezpečnostních kanálů (ZDI, MSRC) by mělo být součástí průběžného bezpečnostního procesu, nikoli jen reakcí na Patch Tuesday.
  • Správci Active Directory (centrální systém pro správu uživatelů a oprávnění ve firmě) by měli ověřit, zda záplaty pro komponenty eskalace privilegií pokrývají i doménové řadiče, které bývají terčem útočníků po prvotním průniku do sítě.

Zdroje:

Tento přehled sestavil automatizovaný redakční systém CIAD z veřejně dostupných zdrojů, ověřil fakta vůči více nezávislým zdrojům a uvedl je níže. Redakční odpovědnost nese CIAD. Nepřesnost nahlaste na office@ciad.cz.

← Zpět na blog