Windows, un Patch Tuesday da record: Microsoft corregge 200 vulnerabilità

Duecento vulnerabilità corrette in un solo aggiornamento, 33 delle quali considerate critiche. Il Patch Tuesday di giugno è uno dei più corposi pubblicati da Microsoft negli ultimi anni e riguarda Windows, Office, Exchange Server e altri prodotti dell’azienda. Secondo i dati del Microsoft Security Response Center, il pacchetto interviene su falle tracciate come CVE e include anche diversi problemi già emersi pubblicamente, un elemento che rende l’installazione degli aggiornamenti particolarmente importante soprattutto in ambito aziendale.

Le vulnerabilità riguardano diverse categorie. Nel quadro riportato dalle analisi del rilascio ci sono 65 falle di elevazione dei privilegi, 55 bug che possono consentire esecuzione di codice da remoto, 30 problemi di divulgazione di informazioni, 27 vulnerabilità di spoofing, 19 bypass delle funzioni di sicurezza e 7 denial of service. Nel conteggio non rientrano le correzioni distribuite per Microsoft Edge e Chromium, che nello stesso mese hanno ricevuto interventi separati.

Nel pacchetto rientrano anche diversi zero-day, cioè vulnerabilità già note pubblicamente o sfruttate prima della correzione ufficiale. Alcune falle erano già state divulgate prima della distribuzione delle patch, mentre almeno un caso risulta indicato come sfruttato in attacchi nelle analisi del rilascio. Non tutte, quindi, erano già utilizzate attivamente, ma diverse erano emerse prima dell’aggiornamento di giugno.

Tra i casi principali c’è CVE-2026-45586, nota anche come GreenPlasma, una vulnerabilità del Windows Collaborative Translation Framework che può consentire a un attaccante locale di ottenere privilegi SYSTEM. C’è poi CVE-2026-49160, una falla denial of service in HTTP.sys legata alla gestione di HTTP/2, con possibile consumo anomalo delle risorse del server attraverso richieste appositamente costruite.

Nel pacchetto rientra anche CVE-2026-45585, conosciuta come YellowKey, collegata a BitLocker. In questo caso, il rischio riguarda il possibile accesso ai dati protetti dalla crittografia completa del disco in presenza di accesso fisico al dispositivo. Lo scenario è quindi diverso da quello di una falla sfruttabile da remoto, ma resta sensibile perché coinvolge direttamente la protezione dei dati salvati sulla macchina.

La vulnerabilità indicata come già sfruttata sarebbe CVE-2026-42897 e riguarda Microsoft Exchange Server. La falla può consentire l’esecuzione di JavaScript nel browser dell’utente in determinate condizioni, attraverso una email appositamente costruita aperta in Outlook Web Access. Microsoft aveva già distribuito mitigazioni tramite Exchange Emergency Mitigation Service, ma l’installazione degli aggiornamenti di giugno resta necessaria per correggere la vulnerabilità sui sistemi interessati.

Per gli utenti Windows, l’indicazione resta quella di installare gli aggiornamenti tramite Windows Update. In ambito aziendale, invece, il rilascio richiede una verifica più attenta dei sistemi esposti, soprattutto dove sono presenti Exchange Server, componenti HTTP.sys, BitLocker e servizi accessibili da rete. Il Security Update Guide di giugno resta il riferimento ufficiale per controllare prodotti coinvolti, gravità delle falle, disponibilità delle patch e valutazione di sfruttabilità.

CLICCA QUI PER CONTINUARE A LEGGERE