El Patch Tuesday del 9 de juny de 2026 ha estat el més gran des que Microsoft va engegar el programa: 198 CVE en una sola tanda, dels quals 32 estan marcats com a crítics i els 166 restants com a importants. No hi ha res qualificat com a moderat ni baix. Si fa temps que administres flotes de Windows, aquest és el mes per reservar la finestra de manteniment amb marge.
El repartiment per tipus deixa l’elevació de privilegis al capdavant, amb un 31,8 % dels errors, seguida de l’execució remota de codi amb un 27,3 %. La resta es reparteix entre divulgació d’informació, denegació de servei, suplantació i omissió de funcions de seguretat. Els components afectats van des del kernel de Windows, Hyper-V, el client d’Escriptori remot, HTTP.sys, Kerberos, DHCP i BitLocker fins a Active Directory, diversos serveis d’Azure, Office, Exchange, Teams i Visual Studio Code, a més de més de 60 components addicionals de Windows.
L’RCE del kernel
L’error que més preocupa de cara a equips exposats és CVE-2026-45657, una execució remota de codi al kernel de Windows amb CVSS 9.8. Permet a un atacant remot sense autenticar executar codi a nivell SYSTEM, el privilegi més alt de la màquina. És la combinació que ningú vol veure: sense credencials, sense interacció de l’usuari i amb control total del sistema si té èxit. Qualsevol equip que rebi trànsit des de xarxes no fiables s’ha de prioritzar.
Els tres zero-days
Tres vulnerabilitats van arribar amb l’etiqueta de zero-day, totes valorades per Microsoft com a “explotació més probable”.
CVE-2026-45586 és una elevació de privilegis al Collaborative Translation Framework de Windows, amb CVSS 7.8. Afecta el procés CTFMON, el que gestiona el reconeixement de veu i escriptura a mà, i atorga privilegis SYSTEM quan s’explota.
CVE-2026-50507, anomenada “Bitskrieg”, és una omissió de la funció de seguretat de BitLocker amb CVSS 6.8. Requereix accés físic al dispositiu i es va divulgar públicament abans que hi hagués pedaç. Hi ha un segon bypass de BitLocker en aquest cicle, CVE-2026-45585 (“YellowKey”, CVSS 6.8), també amb prova de concepte pública des del 13 de maig. Si treballes amb portàtils que surten de l’oficina, són dos motius per no endarrerir l’actualització.
CVE-2026-49160 és una denegació de servei a HTTP.sys amb CVSS 7.5, batejada com a “HTTP/2 Bomb”. El pedaç introdueix un nou ajust de registre, MaxHeadersCount, com a mitigació addicional per limitar la superfície de l’atac.
Escriptori remot i un pedaç fora de banda
El client d’Escriptori remot acumula onze vulnerabilitats d’RCE (de CVE-2026-42909 a CVE-2026-48563), set de les quals crítiques, amb CVSS entre 7.5 i 8.8. El patró és un desbordament de buffer al heap que es dispara quan la víctima es connecta a un servidor controlat per l’atacant. La defensa pràctica passa per no connectar a servidors RDP d’origen dubtós i per pedaçar el client com més aviat millor.
Al marge del cicle principal, Microsoft havia publicat actualitzacions fora de banda. CVE-2026-41091 (“RedSun”, CVSS 7.8) és una elevació de privilegis a Microsoft Defender que ja s’explotava activament i va entrar al catàleg KEV de CISA el 20 de maig de 2026.
Què cal fer
Aplica el cicle complet com més aviat millor i comença pel que està exposat a la xarxa: qualsevol equip accessible de manera remota pel vector del kernel (CVE-2026-45657) i els servidors amb HTTP.sys de cara a internet. Per a portàtils amb BitLocker, recorda que els dos bypass exigeixen accés físic, però el pedaç és l’única solució. I revisa que Microsoft Defender estigui al dia pel zero-day de RedSun, ja explotat.
Si vols comparar la magnitud amb mesos anteriors, tens el resum del Patch Tuesday de març de 2026. Tota la informació sobre versions amb suport és a la fitxa de Windows.