Microsoft heeft dinsdag oplossingen vrijgegeven voor een recordaantal van 206 beveiligingsproblemen die van invloed zijn op het softwareportfolio, waaronder drie fouten die openbaar zijn gemaakt op het moment van release.
Van de 206 tekortkomingen worden er 39 als kritiek beoordeeld en 167 als belangrijk qua ernst. Dit omvat 63 escalatie van privileges, 56 uitvoering van externe code, 30 openbaarmaking van informatie, 27 spoofing, 20 omzeiling van beveiligingsfuncties, zeven denial-of-service en drie knoei-kwetsbaarheden.
De patches omvatten ook twee niet-Microsoft CVE’s, een kwetsbaarheid voor escalatie van bevoegdheden die gevolgen heeft voor de Windows Kernel (CVE-2025-10263) en een omzeiling van de UEFI Secure Boot-beveiligingsfunctie (CVE-2026-8863). Ze komen bovenop de ruim 350 beveiligingslekken die Google heeft aangepakt in Chromium, dat wordt gebruikt in de Edge-browser van Microsoft.
Bovenaan de lijst met oplossingen staat CVE-2026-45657 (CVSS-score: 9,8), een ‘use-after-free’-fout in de Windows-kernel die kan leiden tot uitvoering van externe code.
“Een aanvaller zou dit beveiligingslek kunnen misbruiken door speciaal vervaardigd netwerkverkeer naar een kwetsbaar Windows-systeem te sturen”, aldus Microsoft. “Als dit lukt, kunnen de kwaadaardige netwerkpakketten een fout veroorzaken in de manier waarop de Windows-kernel bepaalde TCP/IP-gegevens verwerkt, waardoor de aanvaller mogelijk code kan uitvoeren met privileges op systeemniveau zonder dat hij zich hoeft aan te melden of met een gebruiker hoeft te communiceren.”
Andere belangrijke belangrijke kwetsbaarheden worden hieronder vermeld:
- CVE-2026-47291 (CVSS-score: 9,8) – Een integer-overflow of omhullende fout in Windows HTTP.sys waardoor een ongeautoriseerde aanvaller code via een netwerk kan uitvoeren.
- CVE-2026-44815 (CVSS-score: 9,8) – Een op stack gebaseerde bufferoverloopkwetsbaarheid in Windows DHCP Client waarmee een ongeautoriseerde aanvaller code via een netwerk kan uitvoeren.
“Voor deze fout zijn geen inloggegevens of gebruikersactie nodig en kan netwerkverkeer veranderen in een volledig systeemcompromis”, zegt Alex Vovk, CEO en medeoprichter van Action1, over CVE-2026-44815. “Een aanvaller kan speciaal vervaardigd netwerkverkeer naar een systeem sturen dat is geconfigureerd voor DHCP-services.”
“Succesvolle exploitatie kan ongeoorloofde code-uitvoering via het netwerk mogelijk maken, met grote gevolgen voor de vertrouwelijkheid, integriteit en beschikbaarheid. Deze kwetsbaarheid creëert ernstige risico’s omdat DHCP een kernnetwerkfunctie is. Succesvolle exploitatie kan leiden tot servercompromis, malware-implementatie, gegevensdiefstal, verstoring van de dienstverlening en verplaatsing dieper het netwerk in. Systemen die DHCP-verkeer verwerken, moeten worden behandeld als patchdoelen met hoge prioriteit.”
Microsoft heeft ook patches uitgebracht om CVE-2026-45585 (CVSS-score: 6,8) aan te pakken, een Windows BitLocker-beveiligingsfunctie die de kwetsbaarheid omzeilt waarvoor vorige maand een proof-of-concept (PoC) exploit genaamd YellowKey werd vrijgegeven door beveiligingsonderzoeker Chaotic Eclipse (ook bekend als Nightmare-Eclipse).
CVE-2026-45585 is een van de vele omzeilingen van veilige functies die de Windows-makers deze maand hebben aangepakt –
“Een succesvolle aanvaller zou de BitLocker Device Encryption-functie op het systeemopslagapparaat kunnen omzeilen”, zei Microsoft in zijn adviezen voor de drie problemen. “Een aanvaller met fysieke toegang tot het doelwit zou deze kwetsbaarheid kunnen misbruiken om toegang te krijgen tot gecodeerde gegevens.”
Volgens beveiligingsonderzoeker Will Dormann wordt CVE-2026-50507 beschouwd als een oplossing voor een BitLocker-bypass genaamd bitskrieg die volledige toegang geeft tot gecodeerde gegevens. Het is vermeldenswaard dat CVE-2026-50507, samen met CVE-2026-49160 en CVE-2026-45586, wordt vermeld als openbaar gemaakte zero-days.
- CVE-2026-45586 (CVSS-score: 7,8) – Kwetsbaarheid bij escalatie van bevoegdheden in Windows Collaborative Translation Framework (CTFMON)
- CVE-2026-49160 (CVSS-score: 7,5) – HTTP.sys denial-of-service-kwetsbaarheid
CVE-2026-49160 is gerelateerd aan HTTP2/Bomb, een aanvalstechniek die kan worden gebruikt om webservers binnen enkele seconden offline te halen. Uit tests uitgevoerd door Calif bleek dat een IIS-server in ongeveer 45 seconden 64 GB RAM verbruikte. Om de aanval te beperken heeft Microsoft een nieuwe registerinstelling “MaxHeadersCount” geïntroduceerd om het aantal headers in HTTP/2- en HTTP/3-verzoeken te beperken.
“Het beperken van HTTP-headers kan systemen en servers helpen beschermen tegen overmatig geheugengebruik, hoog CPU-verbruik en denial-of-service-aanvallen”, aldus Microsoft. “Omdat HTTP/2 (HPACK) of HTTP/3 (QPACK) headercompressie wordt gebruikt en complexere protocolverwerking, kan het afdwingen van een headerlimiet zoals MaxHeadersCount helpen de prestaties en betrouwbaarheid te behouden.”
Aan de andere kant wordt vermoed dat CVE-2026-45586 een oplossing is voor een zero-day escalatie-exploit voor privileges die Chaotic Eclipse heeft uitgebracht onder de naam GreenPlasma.
Ten slotte plugt de update van juni 2026 ook MiniPlasma in, een afzonderlijke kwetsbaarheid die door Chaotic Eclipse is onthuld als een onvolledige oplossing voor CVE-2020-17103, die oorspronkelijk in december 2020 door Microsoft werd verholpen.
“Om de kwetsbaarheid geïdentificeerd door CVE-2020-17103 en onlangs publiekelijk ‘MiniPlasma’ genoemd, volledig aan te pakken, raadt Microsoft aan om de updates van juni 2026 voor uw Windows-besturingssystemen te installeren”, zei de technologiegigant in een update van zijn advies.
Het toenemende aantal patches wordt toegeschreven aan het gebruik van door kunstmatige intelligentie (AI) ondersteunde benaderingen voor het ontdekken van kwetsbaarheden, een trend die volgens Microsoft zich in de nabije toekomst zal voortzetten.
“De spreekwoordelijke doos van Pandora is geopend en naarmate er meer geavanceerde AI-modellen beschikbaar komen, verwachten we dat de norm over de hele linie zal blijven stijgen, niet alleen voor Patch Tuesday”, zei Satnam Narang, senior research engineer bij Tenable, in een verklaring.
Dustin Childs, hoofd bedreigingsbewustzijn bij TrendAI’s Zero Day Initiative (ZDI), beschreef de enorme daling van het aantal Microsoft-kwetsbaarheden als een bewijs van hoe AI het ontdekken van fouten op een oncontroleerbare schaal stimuleert.
“Het huidige aantal CVE’s dat dit jaar door Microsoft is verzonden, overtreft het totale aantal CVE’s dat in heel 2018 is verzonden”, aldus Childs. “Het is buitengewoon dat Microsoft in één maand zoveel patches kan produceren, en ik verwacht dat veel testers zich afvragen welke kwaliteitsproblemen er kunnen zijn.”
De patches komen op het moment dat Chaotic Eclipse een PoC-exploit uitbracht voor weer een andere Microsoft Defender zero-day genaamd RoguePlanet, die het karakteriseert als een raceconditie die kan worden gebruikt om een Windows-opdrachtprompt met SYSTEEM-rechten te spawnen.
