Morten Lyhne Petersen
Microsoft har täppt till två säkerhetshål som båda fick näst intill maxbetyg.
I tisdags släppte Microsoft sin månatliga Patch Tuesday, och två av uppdateringarna sticker ut. CVE-2026-45657 i Windows-kärnan och CVE-2026-47291 i HTTP.sys fick båda CVSS 9.8 av 10 möjliga. Båda låter en angripare köra skadlig kod på din dator utan att du klickar på något och utan att logga in.
Sammanlagt rättade Microsoft 206 sårbarheter i juni-uppdateringen, varav 39 är klassade som kritiska, skriver The Hacker News. Men det är de två CVSS 9.8-hålen som experter pekar ut som de mest brådskande.
Vad hålen gör
Det första hålet, CVE-2026-45657, sitter i hur Windows-kärnan hanterar nätverkstrafik. Säkerhetsföretaget CrowdStrike beskriver att en angripare kan skicka särskilt utformad nätverkstrafik som utlöser ett fel i hur kärnan behandlar TCP/IP-data, vilket kan ge kodkörning med SYSTEM-rättigheter helt utan autentisering.
Det andra hålet, CVE-2026-47291, ligger i HTTP.sys, drivrutinen som hanterar HTTP-trafik i Windows. Cisco-ägda Talos Intelligence sammanfattar att en oautentiserad angripare kan utnyttja sårbarheten genom att skicka ett specialutformat paket till en server som använder HTTP-protokollstacken.
Båda hålen påverkar Windows 10, Windows 11 och Windows Server-versioner från 2016 och framåt, enligt en sammanställning från Threat-Modeling.com.
Varför CVSS 9.8 är en varningslampa
CVSS är den skala som används för att gradera hur allvarliga säkerhetshål är. Skalan går från 0 till 10, och 9.8 är näst intill maxbetyg. Det betyder att hålen kan utnyttjas över nätverket, kräver låg teknisk komplexitet, ingen användarinteraktion och ingen inloggning.
Zero Day Initiative, som följer Patch Tuesday varje månad, slår fast att Windows-kärnhålet låter oautentiserade angripare köra kod på SYSTEM-nivå utan att användaren behöver göra något. Det är samma uppmaning de ger för HTTP.sys-hålet, som Microsoft dessutom har markerat som ”exploitation more likely”, alltså att det troligen kommer att utnyttjas aktivt.
I praktiken betyder det att en angripare på samma nätverk, eller på internet om datorn är direkt exponerad, kan ta full kontroll utan att du märker något.
Gör detta nu: så kontrollerar du Windows Update
Patcharna kom ut den 9 juni och installeras automatiskt om du har Windows Update påslaget. Men många har stängt av automatiska uppdateringar eller skjuter upp omstarter. Så här kontrollerar du själv:
1. Tryck på Windows-tangenten och skriv ”Windows Update”. 2. Öppna ”Sök efter uppdateringar” eller ”Windows Update-inställningar”. 3. Klicka på ”Sök efter uppdateringar”. 4. Om en uppdatering finns tillgänglig, installera den och starta om datorn.
Om datorn redan är uppdaterad bör du se ett meddelande om att den är aktuell. Du kan också kontrollera under ”Uppdateringshistorik” om en uppdatering daterad 9 eller 10 juni 2026 har installerats. Sök i listan efter en kumulativ uppdatering för din Windows-version.
Om du inte kan uppdatera direkt
För HTTP.sys-hålet finns en tillfällig åtgärd som CrowdStrike beskriver. System som använder standardvärdet i registret för MaxRequestBytes, vilket är 16 384 byte enligt CrowdStrikes analys, påverkas inte av sårbarheten. Det här är en inställning för IT-administratörer på server, inte något vanliga användare normalt rör vid. Har du inte ändrat värdet är du alltså inte exponerad mot just den här delen.
För Windows-kärnhålet finns ingen sådan tillfällig lösning. Den enda lösningen är att installera patchen.
Båda sårbarheterna fixades i juni-uppdateringen, så har du Windows Update igång och har startat om datorn de senaste dagarna är du sannolikt skyddad. Om du är osäker, kontrollera nu hellre än senare.
