文章总结： 微软2026年6月补丁星期二修复了200个漏洞，包括3个0day漏洞（CVE-2026-45586权限提升、CVE-2026-49160HTTP.sys拒绝服务、CVE-2026-45585BitLocker安全绕过）和1个已遭利用的漏洞。重点漏洞涉及Windows内核远程代码执行（CVE-2026-45657，CVSS9.8）、HTTP.sys远程代码执行（CVE-2026-47291）等高风险威胁。建议用户优先部署补丁，检查注册表设置，并确保Defender自动更新以缓解风险。 综合评分： 78 文章分类： 漏洞分析,漏洞预警,应急响应,解决方案,安全运营

微软六月补丁星期二值得关注的漏洞

综合编译 综合编译

代码卫士

2026年6月10日 17:43 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

微软在6月补丁星期二中共修复了200个漏洞，其中三个是已公开披露的 0day 漏洞，一个是已遭利用的漏洞。

这些漏洞的类别如下：

• 65个提权漏洞
• 19个安全特性绕过漏洞
• 55个RCE漏洞
• 30个信息泄露漏洞
• 7个拒绝服务漏洞
• 27个欺骗漏洞

三个 0day 漏洞

CVE-2026-45586是位于Windows 协作翻译框架 (CTFMON) 中的提权漏洞，可导致攻击者获得系统权限。微软解释称：“Windows 协作翻译框架在文件访问前存在不正确的链接解析（即链接跟随），可授权攻击者实现本地提权。” BleepingComputer 获悉该漏洞是针对安全研究员 Nightmare Eclipse 所披露的 “GreenPlasma” 0day漏洞的修复补丁。

CVE-2026-49160是位于HTTP.sys 中的拒绝服务漏洞。微软解释称：“HTTP/2 中不受控制的资源消耗允许未经授权的攻击者在网络上造成拒绝服务。”HTTP/2 Bomb 攻击是一种拒绝服务技术，通过滥用 HTTP/2 协议压缩和管理 Web 流量标头的方式，导致攻击者发送极少量的数据，迫使服务器分配不成比例的大量内存。研究人员发现，该攻击可显著增加受影响服务器的内存使用量。攻击者还可以通过操控流量控制设置来持续占用内存，阻止服务器释放资源，从而可能导致性能问题或服务中断。为了帮助缓解此攻击，微软引入了一个新的注册表设置 MaxHeadersCount，用于限制请求中标头的数量，并发布了相关的支持公告说明如何使用。此外，微软还引入了一个新的 MaxHeadersCount 注册表设置。该设置允许用户限制 HTTP 服务器所接受的 HTTP/2 和 HTTP/3 请求中标头的数量。

CVE-2026-45585 / CVE-2026-50507是Windows BitLocker 安全特性绕过漏洞。ZDI 认为这两个漏洞中，一个无疑针对“YellowKey”的修复，另一个似乎是针对“GreenPlasma”的修复。Nightmare Eclipse 已承诺将于 6 月 14 日发布“惊天动地”的漏洞披露。此外，微软提供了一个用于缓解风险的脚本，但更好的策略仍然是测试并部署更新。

其它值得关注的漏洞

CVE-2026-41091是 Microsoft Defender 权限提升漏洞。虽然微软并未提供该漏洞被广泛利用的详细信息，但这些多名人员，表明多方均认为该漏洞已被野外利用，意味着其被利用的程度可能相当严重。好在大多数人无需采取任何操作，因为 Defender 会自动更新。但用户如未配置自动更新，或者处于隔离环境中，则需要手动更新到最新版本。

CVE-2026-45657是 Windows 内核远程代码执行漏洞，CVSS 评分为 9.8，可导致未经身份验证的远程攻击者在无需用户交互的情况下，以 SYSTEM 级别权限执行代码。该漏洞具有蠕虫特性，根源在于内核对 TCP/IP 协议栈的处理方式上。微软将其标注为“被利用可能性较低”，但估计全球每一位安全研究员和漏洞交易商此刻都在逆向分析这个补丁，试图开发出利用代码。因此应尽快测试并部署此补丁。

CVE-2026-47291 是HTTP.sys 远程代码执行漏洞，CVSS评分也为9.8分，同样可导致未经身份验证的远程攻击者在无需用户交互的情况下，在受影响系统上执行代码。不过利用时必须满足前提条件，而使用 Windows HTTP 协议栈默认 MaxRequestBytes 注册表值的系统不受此漏洞影响。如果用户在测试和部署补丁期间需要临时防护，可以修改注册表设置。安全公告中附带了操作说明，甚至还有一个用于执行此操作的 PowerShell 脚本。微软将该漏洞标注为“被利用可能性较高”，因此强烈建议用户检查一下注册表设置。

CVE-2026-44815 是DHCP 客户端服务远程代码执行漏洞，CVSS 评分9.8。不过奇怪的是，尽管 CVSS 评分系统显示利用该漏洞不需要任何权限，但漏洞描述中却写道必须是“已认证”的用户。因此建议保持谨慎，采信 CVSS 的评估。如果 CVSS 是正确的，那么就有了另外一个漏洞，可导致未经身份验证的远程攻击者可以在无需用户交互的情况下，在受影响系统上执行代码。而且由于 DHCP 客户端存在于每个操作系统上，这是一个非常有吸引力的攻击目标，因此也需要尽快测试并部署的漏洞。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

微软2026年5月补丁星期二值得关注的漏洞

微软4月补丁星期二值得关注的漏洞

微软3月补丁星期二值得关注的漏洞

原文链接

https://www.zerodayinitiative.com/blog/2026/6/9/the-june-2026-security-update-review

https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2026-patch-tuesday-fixes-3-zero-day-200-flaws/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 综合编译 综合编译《微软六月补丁星期二值得关注的漏洞》