200 spragų ir kerštingas tyrėjas: ką slepia birželio 'Patch Tuesday'

Jei šią savaitę dar nepaspaudei „Check for Updates" savo Windows kompiuteryje, šiuo metu nešiojiesi 200 priežasčių tai padaryti. Birželio 2026-ųjų „Patch Tuesday" atkeliavo su vienu storiausių saugumo pataisų paketų per pastaruosius mėnesius — 33 iš tų spragų pažymėtos kaip kritinės, o trys yra vadinamosios „nulinės dienos", apie kurias pasaulis jau žinojo dar prieš „Microsoft" išleidžiant pataisą.

Tačiau šįkart skaičiai — ne vienintelė istorija. Viena iš tų nulinių dienų atėjo su asmeniniu prieskoniu: saugumo tyrėjo ir pačios „Microsoft" konfliktu, kuris tęsiasi jau kelis mėnesius.

Trys nulio dienos: kas iš tikrųjų gresia

Pirmoji ir ryškiausia — CVE-2026-45586, privilegijų eskalavimo spraga Windows CTFMON komponente. CTFMON, arba Collaborative Translation Framework, yra ta Windows dalis, kuri leidžia skirtingoms programoms dalintis teksto įvestimi — padeda kalbų perjungimui, rašybos tikrinimui ir panašiems dalykams. Skamba nekaltai, kol nesupranti, ką reiškia „privilegijų eskalavimas": jei užpuolikas jau turi bent kokią prieigą prie tavo kompiuterio — pavyzdžiui, per sukompromituotą vartotojo paskyrą ar kenkėjišką programą — ši spraga leidžia jam pakilti iki SYSTEM lygio. Tai aukščiausias įmanomas leidimų lygis Windows aplinkoje, suteikiantis visišką kontrolę.

Antroji — CVE-2026-49160, HTTP.sys pažeidžiamumas, kuriam tyrėjai davė „HTTP/2 Bomb" pravardę. Ją atrado ofensyvaus saugumo firma „Calif" ir esmė čia slypi tame, kaip HTTP/2 protokolas apdoroja interneto srauto antraštes. Užpuolikas gali nusiųsti labai mažą duomenų kiekį, kuris priverčia serverį rezervuoti neproporcingai didelį atminties kiekį — rezultatas yra paslaugų atsisakymas, kai serveris tiesiog nebeatlaiko apkrovos. Duomenų ši ataka nepavagia, bet gali numušti svetaines ar paslaugas kelioms valandoms.

Trečioji nulinė diena — taip pat viešai atskleista, tačiau detalių kol kas mažiau. „Microsoft" teigia, kad nė viena iš šių trijų spragų dar nebuvo pastebėta aktyviose atakose. Bet tai nereiškia, kad galima atsipalaiduoti — kai pataisa jau išleista, užpuolikai gali ją išnarstyti ir per kelias dienas sukurti veikiantį išnaudojimo įrankį.

Asmeninė keršto istorija: kas yra Nightmare Eclipse?

„GreenPlasma" — būtent tokiu vardu CVE-2026-45586 buvo žinoma iki oficialios pataisos — yra neeilinė saugumo spraga dėl to, kas ją atskleidė. Tyrėjas, pasivadinęs „Nightmare Eclipse", jau kurį laiką sistemingai viešina Windows nulines dienas kaip protesto akciją prieš „Microsoft" klaidų apdovanojimų ir pažeidžiamumų atskleidimo tvarką.

Tai ne pirmas kartas. Per pastaruosius mėnesius „Nightmare Eclipse" paleido visą seriją garsių spragų: BlueHammer, MiniPlasma, RedSun, UnDefend ir YellowKey (pastaroji, beje, taip pat pataisyta šiame birželio pakete). Kiekviena iš jų atskleidė skirtingą Windows pažeidžiamumą, ir kiekviena buvo paviešinta ne tyliai per oficialius kanalus, o viešai — kaip signalas, kad tyrėjas laiko „Microsoft" reakciją nepakankama.

„Microsoft" savo biuletenyje CVE-2026-45586 priskyrė anoniminiam tyrėjui, tačiau „BleepingComputer" patvirtino ryšį su „Nightmare Eclipse". Tai reiškia, kad konfliktas tarp nepriklausomų tyrėjų ir vienos didžiausių pasaulio technologijų kompanijų tęsiasi — ir kol kas atrodo, kad taikos derybos nevyksta.

Ką daro „HTTP/2 Bomb" ir kodėl tai svarbu ne tik administratoriams

Nors HTTP/2 ataka pirmiausia kelia grėsmę serveriams, jos poveikis gali būti juntamas ir paprastiems vartotojams. Jei naudojiesi internetine bankininkyste, elektronine parduotuve ar bet kokia paslauga, kuri staiga tampa nepasiekiama — priežastis gali būti būtent tokio tipo ataka.

„Calif" tyrėjai paaiškino, kad atakos esmė — išnaudoti HTTP/2 antraščių suspaudimo mechanizmą. Tai tas pats protokolas, kuris leidžia interneto puslapiams krautis greičiau. Paradoksalu, bet būtent greičio optimizacija čia tampa Achilo kulnu.

Ne tik trys nulio dienos

Už trijų antraštinių spragų slepiasi dar 197 pataisytos problemos. 28 iš jų leidžia nuotoliniu būdu vykdyti kodą (tai reiškia, kad užpuolikui net nereikia fizinės prieigos prie kompiuterio), keturios leidžia pakelti privilegijas, viena atskleidžia informaciją. Likusios pažymėtos „Svarbios" ir liečia Windows, Office, Edge naršyklę, Azure debesų paslaugas bei .NET karkasą.

Atskira pastaba verta „Microsoft Edge" naudotojų: nors į 200 pataisų skaičių jos neįtrauktos, „Google" šį mėnesį užlopė 360 Chromium pagrindo spragų, kurios automatiškai pasiekia ir Edge naršyklę. Tad jei Edge yra jūsų kasdienis įrankis, atnaujinimas yra dvigubai svarbus.

Ką daryti šiandien

Jei naudoji Windows 11 — eik į Settings, Windows Update ir spausk „Check for Updates". Jei naudoji Windows 10 su Extended Security Updates programa — tau skirtas atskiras KB5094127 paketas, kuris ne tik užlopo tas pačias spragas, bet ir pradeda palaipsnį Secure Boot sertifikatų atnaujinimą (esami baigia galioti būtent šį mėnesį).

Verta žinoti ir apie vieną erzinantį, bet ne kritinį šalutinį poveikį: kai kuriuose kompiuteriuose po atnaujinimo gali pasirodyti BitLocker atkūrimo ekranas, reikalaujantis 48 skaitmenų rakto. „Microsoft" jau žino apie šią problemą ir dirba ties nuolatiniu pataisymu, tačiau kol kas rekomenduoja laikinai pašalinti specifinį grupės politikos nustatymą, susijusį su PCR7 validavimu.

Esmė paprasta: 200 spragų yra 200 priežasčių atnaujinti, o trys nulio dienos su viešu aprašymu reiškia, kad laikrodis tiksi. Nightmare Eclipse istorija tik primena, kad už kiekvieno CVE numerio stovi tikri žmonės — kartais pavargę, kartais pikti, bet visada laikantys raktus į sistemas, kuriomis pasitikime kasdien.