Microsofts Patch Tuesday för juni 2026 är en av de största uppdateringarna på länge. Totalt åtgärdas 206 säkerhetssårbarheter, varav 33 klassas som kritiska och 167 som viktiga. Tre av bristerna är så kallade zero-days, det vill säga sårbarheter vars tekniska detaljer var offentligt kända innan Microsoft hann släppa en fix.

Uppdateringen berör ett brett spektrum av Microsofts programvara: Windows Media, NTFS, Hyper-V, BitLocker, Bluetooth-drivrutiner, Boot Manager, Copilot och Exchange Server finns alla med på listan.

Tre zero-days med operativ risk

De tre zero-days är särskilt allvarliga eftersom angripare i teorin kan ha haft tillgång till detaljer om hur de kan utnyttjas redan innan patchen kom.

CVE-2026-49160 är en denial-of-service-sårbarhet i HTTP.sys som gör det möjligt för en angripare att krascha Windows-servrar på distans genom att skicka specialkonstruerade webbförfrågningar. Det är en direkt risk för alla som kör webbservrar eller API-tjänster på Windows.

CVE-2026-45586 rör CTFMON-tjänsten i Windows och möjliggör lokal behörighetseskalering. En angripare som redan har begränsad åtkomst till ett system kan använda bristen för att skaffa sig administratörsrättigheter.

Den tredje zero-dayen ingår också i den samlade patchen och understryker allvaret i den här månadsuppdateringen.

Varför det spelar roll för företag

För svenska företag som kör Microsoftmiljöer är budskapet tydligt: patcha nu. Tre aktivt publicerade zero-days i kombination med 33 kritiska sårbarheter gör det här till en uppdatering som inte bör vänta.

Exchange Server finns med i listan, vilket är särskilt känsligt för organisationer som hanterar e-post internt. Historiskt sett har Exchange-sårbarheter utnyttjats snabbt efter att detaljer blivit offentliga.

BitLocker och Boot Manager i listan väcker också uppmärksamhet, eftersom brister i dessa komponenter kan påverka hela systemsäkerheten på en enhet, inte bara enskilda applikationer.

Vad du bör göra nu

Prioritera patching av system som är exponerade mot internet, framför allt webbservrar och e-postservrar. Kontrollera att Windows Update är aktiverat och att inga system ligger efter i uppdateringscykeln. För miljöer med manuell patchhantering bör CVE-2026-49160 och CVE-2026-45586 hanteras som högprioriterade ärenden.

Microsofts egna riktlinjer och tekniska detaljer finns i Update Guide på MSRC.