Microsofts juni 2026 Patch Tuesday: rekord med 200 sårbarheter och tre zero-days

Tre aktivt utnyttjade zero-day sårbarheter. Över 200 säkerhetsbrister. Microsofts Patch Tuseday för juni 2026 är den största säkerhetsuppdateringen företaget hittills har släppt. För många organisationer är tidsfönstret mellan tillgängliga patch och aktiv exploatering nu så kort att det inte längre finns utrymme att skjuta upp uppdateringarna.

Dustin Childs, chef för hotanalys vid Trend Micros Zero Day Initiative, beskriver den som den näst största månadsreleasen i Microsofts historia och konstaterar att april 2026 höll det tidigare rekordet. Två rekordstora releaser under samma kalenderår är knappast en slump, det är snarare ett tecken på en bredare förändring i hur sårbarheter identifieras och hanteras.

De tre zero-days som kräver omedelbara åtgärder

Av de drygt 200 CVE:er som hanteras i junireleaen var tre zero-days, vilket innebär att Microsoft bekräftade aktiv exploatering innan någon säkerhetsuppdateringar fanns tillgänliga. The Record identifierade CVE-2026-23666, CVE-2026-32190 och CVE-2026-33114 bland de aktivt utnyttjade sårbarheterna. Samtliga tre påverkar centrala Windows-komponenter och kan nås på distans. CVSS-poäng i den kritiska deluppsättningen når 9,8.

Den berörda produktytan är bred: Windows, Office, Visual Studio Code, Exchange Server, Azure-komponenter, .NET Framework, Microsoft Word och Remote Desktop Client fick alla rättningar. Organisationer som kör hybridmiljöer med Exchange on-premises parallellt med Azure-arbetsbelastningar är exponerade i flera lager samtidigt.

CVE-2026-33115, CVE-2026-32157, CVE-2026-33826 och CVE-2026-33824 är också patchade i den här releasen, med bekräftade fjärrexploateringsvektorer. Ingen av dessa hade vid publiceringstillfället lagts till i CISA:s katalog över kända exploaterade sårbarheter, men den katalogen ligger typiskt sett dagar, inte veckor, efter aktiv exploatering.

Secure Boot-certifikatet löper ut

I junireleaen finns också en uppdatering av Secure Boot-certifikatet. Det nuvarande certifikatet som används för att validera boot-komponenter närmar sig sitt utgångsdatum, och missar man den här uppdateringen öppnas en helt separat riskväg: system som inte kan validera sin bootkedja blir sårbara för bootkit-angrepp som överlever en ominstallation av operativsystemet. Enligt windowsforum.com är just den här certifikatövergången det operativa moment som säkerhetsteam med störst sannolikhet förbiser när de fokuserar på CVE-antalet. Det bör de inte göra.

Den praktiska konsekvensen är att den här uppdateringen inte kan fasas in på samma sätt som många organisationer hanterar Patch Tuesday-utrullningar. Certifikatkomponenten har en hård deadline som är oberoende av CVE-allvarlighetsgrader.

AI driver fram fler upptäckta sårbarheter

Volymökningen från Microsofts historiska genomsnitt till två rekordstora releaser på fyra månader speglar en strukturell förändring, inte en tillfällig topp. The Records rapportering och täckningen på ap7i.com pekar båda på AI-stödd kodanalys som den primära drivkraften. Säkerhetsforskare och Microsofts egna interna team använder AI-verktyg för att hitta sårbarheter i kod som manuell granskning missat i åratal.

Det är genuint goda nyheter för plattformens långsiktiga säkerhet. Operativt är det smärtsamt för varje IT-team som nu ska hantera dubbelt så stor månadsvolym med samma personalstyrka. Attackytan var alltid lika stor. Forskarna hittar den bara snabbare nu.

Den obehagliga baksidan är att angripare har tillgång till samma AI-verktyg. Den genomsnittliga tiden mellan patch-release och vapenfärdig exploit-kod som dyker upp i det fria ligger på ungefär 5 dagar, enligt data från Trend Micros Zero Day Initiative. Det talet gäller före den nuvarande AI-accelerationscykeln. Räkna med att det är kortare nu.

En notering om källdata

De specifika CVE-nummer som angavs i källmaterialet för den här artikeln fanns vid publiceringstillfället inte i NIST:s National Vulnerability Database eller MITRE:s CVE-register. The Records rapportering om den här releasen är den primärt verifierbara källan. Behandla de CVE-identifierare som listas ovan som rapporterade snarare än bekräftade mot NVD, och korsreferera mot Microsofts officiella Security Update Guide innan du prioriterar åtgärdsordningen i din egen miljö.

Patcha Exchange och Remote Desktop först

För säkerhetsteam som triagerar vilka komponenter som ska prioriteras är logiken enkel. Exchange Server och Remote Desktop Client är de mest attraktiva fjärrexploateringsmålen i den här releasen. Båda är internetexponerade i de flesta företagsmiljöer, båda har en etablerad historia av att kritiska sårbarheter vapenfärdigs inom dagar efter patch-release, och båda förekommer i den här uppdateringen med risker för fjärrkörning av kod.

Patcha Exchange och RDC först. Applicera Secure Boot-certifikatuppdateringen innan dess utgångsfönster stängs. Arbeta sedan igenom Windows- och Azure-komponenter efter exponeringsyta. Visual Studio Code- och .NET Framework-uppdateringar kan följa när den internetexponerade risken är hanterad, men hoppa inte över dem.

Kör din organisation en fasad patchningscykel med fördröjning för testmiljö, komprimera tidslinjen den här månaden. En release med 200 CVE:er och 3 bekräftade zero-days är inte månaden att hålla fast vid ett standardmässigt två veckors uppehåll.

Referenser

1. Microsoft ships largest Patch Tuesday on record
2. June 2026 Patch Tuesday – Record 200 Fixes and the Shift to Continuous Risk Management
3. Microsoft’s June 2026 Patch Tuesday – A Record 200 Flaws, 3 Zero-Days
4. Microsoft drops its second-largest monthly batch of defects on record
5. Microsoft Security Update Guide
6. CISA Known Exploited Vulnerabilities Catalogue

This post is also available in: English