रेडमंड/नई दिल्ली, 11 जून 2026 (IT Samachar डेस्क): Microsoft ने जून 2026 के Patch Tuesday अपडेट में रिकॉर्ड 206 vulnerabilities फिक्स की हैं — कंपनी के इतिहास का सबसे बड़ा मासिक सिक्योरिटी बैच। इनमें 3 सार्वजनिक ज़ीरो-डे और CVSS 10.0 स्कोर वाला Azure HorizonDB बग शामिल है।
यह आंकड़ा सिर्फ़ रिकॉर्ड नहीं, एक ट्रेंड का सबूत है। अक्टूबर 2025 का पिछला रिकॉर्ड 175 CVE का था, और 2026 की पहली छमाही के आधे Patch Tuesday अपडेट ट्रिपल-डिजिट में रहे हैं। रिसर्चर्स इसका बड़ा कारण AI-असिस्टेड बग डिस्कवरी को मान रहे हैं — यानी भारतीय एंटरप्राइज़ IT और SOC टीमों के लिए पैचिंग का बोझ अब हर महीने बढ़ता जाएगा।
तीन ज़ीरो-डे: HTTP/2 Bomb सबसे आगे
SOCRadar के विश्लेषण के मुताबिक़ तीनों ज़ीरो-डे रिलीज़ से पहले सार्वजनिक हो चुके थे और तीनों को Microsoft ने “Exploitation More Likely” रेटिंग दी है। सबसे चर्चित CVE-2026-49160 (CVSS 7.5) है — Windows के HTTP.sys कर्नेल-मोड लिसनर में Denial of Service खामी, जो HTTP/2 Bomb तकनीक से जुड़ी है। छोटा सा क्राफ़्टेड रिक्वेस्ट सर्वर से असंगत रूप से बड़ा डेटा प्रोसेस करवाकर उसे ठप कर सकता है, बिना किसी ऑथेंटिकेशन के।
दूसरा ज़ीरो-डे CVE-2026-45586 (CVSS 7.8) Windows के CTFMON टेक्स्ट-इनपुट फ़्रेमवर्क में Elevation of Privilege बग है, जो लोकल अटैकर को SYSTEM-लेवल तक पहुंचा सकता है। तीसरा, CVE-2026-50507 (CVSS 6.8), BitLocker डिस्क-एन्क्रिप्शन बायपास है — और इसका proof-of-concept एक्सप्लॉइट कोड पहले से सार्वजनिक है, यानी चोरी या गुम हुए कॉर्पोरेट लैपटॉप सीधे जोखिम में हैं।
रिसर्चर्स की चेतावनी: “यह नया नॉर्मल है”
Trend Micro की Zero Day Initiative के थ्रेट-अवेयरनेस हेड डस्टिन चाइल्ड्स ने मंगलवार के ब्लॉग पोस्ट में वॉल्यूम पर हैरानी और चिंता दोनों जताई।
“It is extraordinary that Microsoft can produce so many patches in a single month.” — डस्टिन चाइल्ड्स, Head of Threat Awareness, Trend Micro ZDI
चाइल्ड्स के मुताबिक़ Microsoft इस साल अब तक जितनी CVE जारी कर चुका है, वह पूरे 2018 के कुल आंकड़े से ज़्यादा है। Tenable के सीनियर स्टाफ़ रिसर्च इंजीनियर सतनाम नारंग ने CyberScoop को दिए बयान में इसे AI युग का स्थायी बदलाव बताया।
“Pandora’s proverbial box has been opened… we expect the norm to continue upward.” — सतनाम नारंग, Senior Staff Research Engineer, Tenable
सबसे ख़तरनाक बग: DHCP, कर्नेल और HTTP.sys
CVSS 9.0+ वाली खामियों की सूची लंबी है। CVE-2026-48567 (CVSS 10.0) Azure HorizonDB में है — हालांकि Microsoft ने इसे सर्विस-साइड फिक्स कर दिया है और ग्राहकों को कुछ नहीं करना। असली पैचिंग प्राथमिकता हैं: CVE-2026-44815 (Windows DHCP Client RCE, 9.8), CVE-2026-45657 (Windows Kernel का दुर्लभ unauthenticated नेटवर्क RCE, 9.8) और CVE-2026-47291 (HTTP.sys RCE, 9.8 — इकलौता बग जिसके लिए Microsoft ने अलग mitigation भी जारी किया है)।
ध्यान रहे — मई के out-of-band अपडेट में आया CVE-2026-41091 (Microsoft Defender EoP) इस वक़्त इकलौती सक्रिय रूप से एक्सप्लॉइट हो रही खामी है। Exchange Server एडमिन्स के लिए अलग चेतावनी: SOCRadar के मुताबिक़ CVE-2026-45583 सिर्फ़ जून Security Update लगाने से ठीक नहीं होता; CVE-specific दस्तावेज़ के अतिरिक्त स्टेप ज़रूरी हैं।
भारतीय एंटरप्राइज़ के लिए क्या मायने
भारत के लिए यह सिर्फ़ विदेशी ख़बर नहीं है। TCS, Infosys और Wipro जैसी कंपनियां लाखों Windows एंडपॉइंट मैनेज करती हैं — अपने भी, क्लाइंट्स के भी। Seqrite की India Cyber Threat Report 2026 पहले ही भारत में सालाना 26.55 करोड़ साइबर हमले दर्ज कर चुकी है, और unpatched सिस्टम सबसे आम एंट्री पॉइंट हैं। SharePoint स्पूफ़िंग बग्स का क्लस्टर और NTLM Spoofing (CVE-2026-50508) उन भारतीय संगठनों के लिए ख़ास जोखिम है जो अब भी लेगेसी NTLM ऑथेंटिकेशन चलाते हैं — BFSI और सरकारी सिस्टम इसमें सबसे आगे हैं।
SOC टीमों के लिए व्यावहारिक प्राथमिकता-क्रम साफ़ है: सबसे पहले इंटरनेट-फ़ेसिंग Windows सर्वर (HTTP.sys की दोनों खामियां एक ही पैचिंग ब्लॉक मानें), फिर DHCP इन्फ्रास्ट्रक्चर, फिर BitLocker वाले ट्रैवलिंग लैपटॉप। SOCRadar ने Windows Server 2022 Datacenter: Azure Edition चलाने वालों को अलग से आगाह किया है — इस बार का अपडेट hotpatch नहीं है, यानी रीबूट ज़रूरी होगा और मेंटेनेंस विंडो पहले से प्लान करनी पड़ेगी। छोटे-मझोले भारतीय कारोबारों के लिए सबसे सस्ता बीमा वही पुराना नुस्ख़ा है: Windows Update पर ऑटो-इंस्टॉल चालू रखना।
आगे क्या?
अगले 30-90 दिनों में तीन चीज़ें देखने लायक़ होंगी। पहली, HTTP/2 Bomb (CVE-2026-49160) का वाइल्ड एक्सप्लॉइटेशन — PoC-समर्थित DoS बग आमतौर पर हफ़्तों में हथियार बन जाते हैं। दूसरी, BitLocker बायपास का फ़िज़िकल-एक्सेस अटैक्स (evil maid) में इस्तेमाल। तीसरी, जुलाई का Patch Tuesday — अगर वह भी 150+ रहा, तो चाइल्ड्स की “नया नॉर्मल” थीसिस पक्की मानी जाएगी और एंटरप्राइज़ पैच-विंडो की पूरी रणनीति बदलनी होगी।
मुख्य तथ्य
- कुल फिक्स: 206 CVE (रिकॉर्ड); पिछला रिकॉर्ड: 175 (अक्टूबर 2025)
- ज़ीरो-डे: CVE-2026-49160 (HTTP/2 Bomb DoS), CVE-2026-45586 (CTFMON EoP), CVE-2026-50507 (BitLocker बायपास, PoC उपलब्ध)
- सबसे ऊंचा स्कोर: CVE-2026-48567 — Azure HorizonDB, CVSS 10.0
- सक्रिय एक्सप्लॉइटेशन: CVE-2026-41091 (Defender, मई के out-of-band पैच में फिक्स)
स्रोत: CyberScoop, SOCRadar, PCWorld, Malwarebytes, Microsoft MSRC (11 जून 2026 तक की रिपोर्टिंग)।
