Morten Lyhne Petersen
Microsoft släppte i går sin största säkerhetsuppdatering någonsin, med rättningar för omkring 200 sårbarheter i Windows.
Tre av hålen var offentliggjorda innan patchen kom, däribland ett BitLocker-fel som kan ge en tjuv med fysisk tillgång till datorn väg in i krypterade filer. Uppdateringen rullas ut via Windows Update.
Den så kallade Patch Tuesday-uppdateringen för juni 2026 innehåller 33 kritiska sårbarheter, och de flesta av dem handlar om fjärrkodexekvering. Det vill säga att en angripare i värsta fall kan köra skadlig kod på en sårbar dator över nätverket.
Resten fördelar sig på sårbarheter för rättighetsupptrappning, informationsläckage, förfalskning, säkerhetsfunktioner som kan kringgås och överbelastningsattacker. Det tidigare rekordet för en enskild Patch Tuesday var betydligt mindre, enligt Computer Weekly.
BitLocker-buggen är farlig om datorn försvinner
Den mest uppmärksammade av de tre nolldagars-sårbarheterna har CVE-numret CVE-2026-50507 och drabbar Microsofts diskkrypteringsfunktion BitLocker, som ska hindra obehöriga från att läsa filer på en borttappad eller stulen dator.
Felet kan utnyttjas av en angripare som har själva datorn i handen. Genom att starta upp i Windows Recovery Environment, återställningsläget i Windows, går det att kringgå BitLocker-skyddet och komma åt krypterade enheter.
Sårbarheten påverkar i första hand system där BitLocker bara skyddas av datorns TPM-chip, utan extra PIN-kod. Den som vill ha extra skydd kan slå på TPM+PIN-autentisering.
HTTP/2-sårbarhet kan slå ut webbservrar
Den andra zero-day:n, CVE-2026-49160, sitter i HTTP.sys, den komponent i Windows som hanterar inkommande webbtrafik. Angreppet missbrukar hur HTTP/2-protokollet hanterar så kallade headers, de små informationspaket som följer med varje webbförfrågan. En liten mängd data kan tvinga servern att avsätta orimligt mycket minne, och tjänsten kan därmed slås ut.
Microsoft har samtidigt infört en ny registerinställning, MaxHeadersCount, som låter administratörer begränsa antalet headers i HTTP/2- och HTTP/3-förfrågningar.
Den tredje offentliggjorda sårbarheten ger enligt Microsoft en lokal angripare möjlighet att ta sig upp till högre rättigheter på datorn.
Installera uppdateringen snarast
För vanliga användare är rådet enkelt: kontrollera att Windows Update är aktiverat och installera juniuppdateringen så snart den dyker upp. Datorer som inte uppdateras står öppna för tre offentligt kända attacker, och den som tappar sin BitLocker-skyddade dator kan i värsta fall förlora skyddet av sina filer helt.
