Morten Lyhne Petersen
Microsofts senaste säkerhetsuppdatering täpper till elva hål i Remote Desktop – och fyra av dem är klassade som kritiska.
Bland 200 patchade sårbarheter sticker just Remote Desktop Client ut, programmet som miljontals hemarbetare använder för att fjärransluta till jobbdatorn. Fyra av buggarna är så allvarliga att en angripare kan ta över datorn helt utan att användaren behöver klicka på något.
Uppdateringen kom i tisdags, den 9 juni, som en del av Microsofts månatliga Patch Tuesday. För vanliga Windows-användare räcker det att köra en helt vanlig Windows Update för att täppa till hålen.
Fyra kritiska hål i fjärrskrivbordet
De fyra allvarligaste sårbarheterna i Remote Desktop Client har fått beteckningarna CVE-2026-44801, CVE-2026-44799, CVE-2026-42992 och CVE-2026-42985. Den sista är den allvarligaste med en CVSS-poäng på 8,8 av 10, enligt en genomgång från Zero Day Initiative.
Alla fyra är så kallade RCE-buggar, kort för remote code execution. På klarspråk betyder det att någon annan kan köra valfri kod på din dator över internet. Angriparen behöver inte lura dig att öppna en fil eller klicka på en länk – det räcker att din dator kopplar upp sig mot en server som angriparen kontrollerar.
Säkerhetsleverantören Tenable beskriver attackvägen i sin analys av uppdateringen. För att utnyttja hålet krävs att ”ett offer ansluter till en angriparkontrollerad server med en sårbar version av Remote Desktop Client”, skriver Tenable. Den anslutningen kan utlösa en buffertöverskrivning i minnet, vilket ger angriparen kontroll.
Totalt patchades elva sårbarheter i Remote Desktop Client den här månaden, varav fyra alltså är kritiska och sju av lägre allvarsgrad.
Hyper-V-hål kan släppa lös virtuella maskiner
Vid sidan av Remote Desktop åtgärdade Microsoft också tre kritiska sårbarheter i Hyper-V, den virtualiseringsteknik som ligger inbyggd i Windows. Det handlar om CVE-2026-45607, CVE-2026-45641 och CVE-2026-47652, var och en med CVSS-poäng mellan 8,2 och 8,4 enligt säkerhetsföretaget Rapid7.
Hyper-V-buggarna är obehagliga av en särskild anledning: de gör det möjligt för en angripare att bryta sig ut ur en virtuell maskin och köra kod direkt på värddatorn. För företag som kör flera kunders virtuella maskiner på samma fysiska server är det ett scenario med potentiellt mycket stora konsekvenser.
En av de största patchomgångarna någonsin
Junis Patch Tuesday var rekordstor. Microsoft täppte till runt 200 säkerhetshål i samma omgång, rapporterar Cybersecurity News, som räknar till 198 CVE-nummer.
Det är den största enskilda månadsuppdateringen sedan Zero Day Initiative började föra statistik 2017. Säkerhetsanalytikern Dustin Childs vid Zero Day Initiative ifrågasätter i sin genomgång om volymen är hållbar och frågar sig om ”det här är det nya normala”.
Bland övriga uppdateringar finns tre publikt avslöjade nolldagssårbarheter, det vill säga hål som var kända innan patchen kom. Två av dem ligger i Windows BitLocker respektive HTTP.sys, den komponent som hanterar webbtrafik i Windows. Ingen av dem är enligt Tenable känd för att ha utnyttjats i faktiska attacker.
Så uppdaterar du
För hemanvändare och småföretag som använder Remote Desktop räcker det att öppna Inställningar i Windows, gå till Windows Update och installera tillgängliga uppdateringar. Datorn behöver startas om för att patcharna ska träda i kraft.
Den som har slagit av automatiska uppdateringar bör göra undantag den här månaden. När en bugg gör det möjligt för någon att ta över datorn utan ett enda klick från användaren, är väntan ett konkret risktagande.
