Okamžitá aktualizace vám může hodně zachránit. Windows opravil 206 chyb, 5 z nich hackeři aktivně zneužívají

Červnový souhrn novinek Microsoftu je největší za posledních devět let. Mezi stovkami oprav se skrývá pět zranitelností, které útočníci zneužívají v reálném provozu.

Zdroj fotografie: Pexels

Když Microsoft 10. června 2026 zveřejnil měsíční bezpečnostní balík, čísla překvapila i analytiky, kteří Patch Tuesday sledují od jeho vzniku. Podle Zero Day Initiative šlo o vůbec největší várku záplat minimálně od roku 2017; předchozí rekord činil 177 opravených chyb. Tentokrát jich bylo přes dvě stě a pět z nich už v okamžiku vydání aktivně zneužívali útočníci. To znamená jediné: každý den bez aktualizace je den, kdy váš počítač nebo server může stát s otevřenými dveřmi.

Co přesně červnový balík obsahuje

Číslo 206 neznamená dvě stě šest děr v samotném jádru Windows. Červnový přehled pokrývá celé produktové portfolio Microsoftu: Windows 11, Windows Server, Remote Desktop Client, Office, SharePoint, Exchange Server, .NET, Visual Studio, Dynamics 365, Azure a Microsoft Defender. Podle rozboru BleepingComputer se chyby dělí takto:

• 65× eskalace práv – útočník s omezeným přístupem získá administrátorská nebo SYSTEM oprávnění
• 55× vzdálené spuštění kódu (RCE) – útočník může spustit svůj program na cizím stroji
• 30× únik informací – systém prozradí data, která neměla
• 27× spoofing – podvržení identity nebo obsahu
• 19× obejití bezpečnostních funkcí – například ochrany BitLockeru
• 7× odepření služby (DoS) – vyřazení serveru z provozu

Přesné číslo se může lišit podle metodiky počítání, někdo uvádí 200, jiný 208. Rekordní charakter měsíce ale zpochybňován není.

Pět velmi zneužívaných chyb

Tady je jádro naléhavosti. Microsoft v červnovém souhrnu vyjmenoval sedm urgentních CVE, u nichž byla před vydáním oprav prokázána buď aktivní exploatace, nebo veřejná dostupnost detailů. Pět z nich útočníci prokazatelně zneužívali „in the wild“, tedy ne v laboratoři, ale proti reálným systémům:

• CVE-2026-42897 – chyba v Exchange Server OWA. Přímo označena jako zneužívaná v červnové várce. Ohrožuje každou firmu s on-premises Exchange serverem vystaveným do internetu.
• CVE-2026-41091 – eskalace práv v Microsoft Defenderu. Útočník s nízkými oprávněními se přes ni může dostat na úroveň SYSTEM. Microsoft ji řešil částečně už dříve aktualizací Defenderu, ale v červnovém souhrnu ji znovu zahrnul.
• CVE-2026-45498 – další zranitelnost Defenderu se stejným profilem. Opravena aktualizací enginu Defenderu, nikoliv výhradně červnovým Patch Tuesday.
• CVE-2026-50507 a CVE-2026-45585 – dva BitLocker bypassy známé pod označením „YellowKey“. Umožňují při fyzickém přístupu obejít šifrování systémového disku. Scénář počítá s podvrženými soubory na USB a bootem do Windows Recovery Environment. Největší riziko pro zařízení bez PINu, typicky firemní notebooky, ale i část domácích PC.

Zbylé dvě CVE (CVE-2026-49160 a CVE-2026-45586) byly veřejně známé, což znamená, že útočníci měli k dispozici technické detaily ještě před vydáním záplaty. CVE-2026-45586 je lokální eskalace práv, CVE-2026-49160 spadá do kategorie zero-day.

Zvláštní pozornost si zaslouží i CVE-2026-45657, RCE chyba v jádře Windows s hodnocením CVSS 9,8, kterou Zero Day Initiative označuje jako „wormable“. Lze ji zneužít bez přihlášení i bez interakce uživatele a může se šířit mezi stroji sama. To je kvalitativně úplně jiná úroveň než lokální eskalace práv.

Proč je každý den prodlení rizikový

Po vydání záplat začíná závod. Bezpečnostní analytici i útočníci reverzně analyzují patch, aby zjistili, co přesně opravuje, a jak chybu zneužít. U veřejně známých zero-day je tento proces ještě rychlejší, protože část práce už je hotová. ZDI na tom staví své varování: prodleva pracuje ve prospěch útočníků, ne uživatelů.

Situaci komplikuje i výzkumník vystupující pod pseudonymem Nightmare Eclipse. Po sporu s Microsoftem ohledně odměn za nalezené chyby avizoval další zveřejnění neopravených zranitelností k 14. červnu 2026. Jestli k němu skutečně došlo a v jakém rozsahu, není potvrzeno, ale samotná hrozba ukazuje, že červnové okno zranitelnosti se mohlo dále rozšířit.

Ohroženy nejsou jen firmy se servery. BitLocker bypass se týká každého, komu může být notebook odcizen nebo kdo jej nechává bez dozoru. Lokální eskalace práv dopadá na každý stroj, kde už běží jakýkoli škodlivý kód s nízkými oprávněními. Geografické omezení neexistuje: pokud provozujete dotčený produkt ve zranitelné verzi, jste zasažitelní stejně jako kdokoli jinde na světě.

Jak si ověříte stav u sebe a co udělat hned

Základní cesta: Start → Nastavení → Windows Update → Zkontrolovat aktualizace. Pokud se balík nenabízí automaticky, klikněte na „Stáhnout a nainstalovat“ a po dokončení restartujte.

Podle čeho poznáte, že máte správnou verzi:

Verze Windows	Hledané KB	Číslo sestavení
Windows 11 24H2 / 25H2	KB5094126	26100.8655 nebo 26200.8655
Windows 11 23H2	KB5093998	22631.7219

Historii aktualizací najdete v Nastavení → Windows Update → Historie aktualizací.

U Microsoft Defenderu by verze platformy a enginu neměla být pod hodnotami 4.18.26040.7 (platforma) a 1.1.26040.8 (engine). Aktuální verze k 22. červnu jsou už vyšší: platforma 4.18.26050.15 a engine 1.1.26050.11. Defender se aktualizuje vlastním mechanismem nezávisle na Patch Tuesday, takže i stroj s odloženými Windows Update může mít Defender aktuální – a naopak.

Pro izolovaná nebo firemní prostředí bez přímého připojení k internetu existuje Katalog Microsoft Update s ruční instalací přes DISM nebo Windows Update Standalone Installer. Defender lze v offline režimu aktualizovat přes WSUS, sdílenou síťovou složku nebo příkaz MpCmdRun.exe -SignatureUpdate.

Důležitá poznámka: Windows 10 již od října 2025 nemá bezplatné bezpečnostní aktualizace. Pokud jej stále používáte bez placeného programu ESU, neznamená to, že jste v bezpečí. Znamená to pravý opak.

Dvě stě šest záplat v jednom měsíci není statistická kuriozita. Je to signál, že útočná plocha moderního operačního systému roste rychleji než dřív, a jediná obrana, kterou máte plně pod kontrolou, je pravidelná aktualizace v Nastavení.