Security
Rekapitulasi Raksasa Patch Tuesday Microsoft Juni 2026: Tambal 3 Zero-Day dan 200 Celah Keamanan
Microsoft resmi merilis paket pembaruan keamanan Patch Tuesday edisi Juni 2026. Pembaruan massal kali ini tergolong raksasa karena memperbaiki 200 celah keamanan (di luar ratusan celah berbasis Chromium/Edge) serta menambal tiga kerentanan zero-day yang statusnya telah terekspos ke publik terlebih dahulu.
Dari total 200 celah yang diperbaiki, Microsoft mengategorikan 33 kerentanan masuk dalam status “Kritis” (Critical), di mana mayoritas di antaranya sangat berbahaya karena membuka potensi serangan eksekusi kode jarak jauh secara ilegal.
1. Statistik Kerentanan Berdasarkan Kategori
Berikut adalah rincian pembagian 200 celah keamanan yang ditambal oleh Microsoft berdasarkan jenis ancaman siber yang ditimbulkan:
- 65 Celah Peningkatan Hak Akses (Elevation of Privilege)
- 55 Celah Eksekusi Kode Jarak Jauh (Remote Code Execution / RCE)
- 30 Celah Kebocoran Informasi (Information Disclosure)
- 27 Celah Pemalsuan Identitas (Spoofing)
- 19 Celah Pelewatan Fitur Keamanan (Security Feature Bypass)
- 7 Celah Kelumpuhan Sistem (Denial of Service / DoS)
Catatan: Total perhitungan ini murni hanya mencakup produk inti Microsoft yang dirilis pada hari ini. Angka ini tidak memasukkan perbaikan parsial pada layanan cloud/AI (seperti Microsoft Copilot, Azure HorizonDB, atau Exchange Online) yang sudah ditambal lebih awal, serta mengesampingkan 360 bug Microsoft Edge/Chromium yang diperbaiki oleh Google bulan ini.
2. Tiga Celah “Zero-Day” Publik yang Menjadi Sorotan Utama
Meskipun ketiga celah di bawah ini telah bocor informasinya ke publik sebelum patch resmi ini keluar, Microsoft memastikan bahwa hingga saat ini belum ditemukan bukti adanya eksploitasi aktif di dunia nyata yang memanfaatkan celah-celah tersebut.
A. CVE-2026-45586 — Celah “GreenPlasma” pada Windows CTFMON (SYSTEM Privilege)
- Jenis Ancaman: Elevation of Privilege (Peningkatan Hak Akses)
- Deskripsi: Ditemukan akibat penanganan tautan file yang tidak sempurna (improper link resolution/link following) pada komponen Windows Collaborative Translation Framework (CTFMON). Peretas lokal yang memiliki hak akses standar bisa mengeksploitasi celah ini untuk mendirikan command shell dengan hak akses tertinggi, yaitu SYSTEM.
- Latar Belakang: Celah ini awalnya dibocorkan ke publik dengan nama sandi “GreenPlasma” oleh peneliti bernama Nightmare Eclipse. Sang peneliti sengaja merilis massal rentetan zero-day Windows (seperti BlueHammer, MiniPlasma, RedSun, UnDefend, dan YellowKey) sebagai bentuk protes terhadap kebijakan program bug bounty Microsoft.
B. CVE-2026-49160 — Celah “HTTP/2 Bomb” pada HTTP.sys (Denial of Service)
- Jenis Ancaman: Denial of Service (Kelumpuhan Server)
- Deskripsi: Ditemukan oleh firma keamanan ofensif Calif. Celah ini mengeksploitasi cacat protokol HTTP/2 dalam mengompresi dan mengelola teks tajuk (traffic headers).
- Mekanisme Serangan: Peretas cukup mengirimkan paket data berukuran sangat kecil namun terkompresi padat. Saat server mencoba mengurainya, sistem terpaksa mengalokasikan konsumsi memori (RAM) dalam jumlah yang sangat masif secara tidak proporsional. Peretas kemudian memanipulasi pengaturan kontrol aliran (flow-control) agar memori tersebut terus terkunci, memicu malafungsi performa, hingga membuat server lumpuh total (outage).
[Paket Data Sangat Kecil / HTTP/2 Bomb] ──► Diterima oleh HTTP.sys Server
│
▼ (Proses Dekompresi Paksa)
[Konsumsi RAM Melonjak Ekstrem] ──► Aliran Data Dikunci Peretas ──► Server Crash / Outage
- Mitigasi: Guna menahan serangan sejenis di masa depan, Microsoft menyuntikkan pengaturan registri baru bernama
MaxHeadersCount. Administrator server kini bisa membatasi jumlah tajuk maksimal yang boleh diterima oleh HTTP server melalui panduan dokumen KB5102602.
C. CVE-2026-50507 — Celah “YellowKey” pada Windows BitLocker (Bypass Enkripsi)
- Jenis Ancaman: Security Feature Bypass (Pelewatan Fitur Keamanan)
- Deskripsi: Ini merupakan perbaikan untuk celah zero-day bertajuk “YellowKey” yang juga dibocorkan oleh Nightmare Eclipse. Celah ini memungkinkan penyerang yang memiliki akses fisik langsung ke komputer korban untuk menembus dan membaca isi drive yang terenkripsi oleh BitLocker.
- Mekanisme Serangan: Peretas menanamkan file manipulasi khusus pada flashdisk atau partisi EFI, lalu melakukan proses booting ke dalam Windows Recovery Environment (WinRE). Dengan menahan tombol CTRL saat proses berjalan, sistem akan memicu jebakan ruang perintah (command shell) yang memberikan akses tanpa batas ke dalam drive yang dilindungi BitLocker. Celah ini dominan menyerang komputer berbasis Windows 11 dan Windows Server 2022/2025 yang hanya mengandalkan proteksi chip TPM saja (TPM-only protection).
3. Daftar Lengkap Kerentanan Kritis (Critical) Juni 2026
Berikut adalah tabel daftar sirkuit keamanan yang dikategorikan masuk dalam level bahaya Kritis (Critical) pada pembaruan Patch Tuesday kali ini:
| Komponen / Tag Sistem | Kode CVE ID | Judul Resmi Kerentanan Keamanan |
| Active Directory | CVE-2026-45648 | Windows Active Directory Domain Services Remote Code Execution Vulnerability |
| Azure Network | CVE-2026-45476 | Microsoft Azure Network Adapter Elevation of Privilege Vulnerability |
| Azure Service | CVE-2026-33828 | Windows Device Health Attestation (DHA) Elevation of Privilege Vulnerability |
| Azure Kubernetes | CVE-2026-32193 | Azure Kubernetes Service (AKS) Remote Code Execution Vulnerability |
| Microsoft Office | CVE-2026-45463 | Microsoft Office Remote Code Execution Vulnerability |
| Microsoft Office | CVE-2026-45474 | Microsoft Office Remote Code Execution Vulnerability |
| Microsoft Office | CVE-2026-45472 | Microsoft Office Remote Code Execution Vulnerability |
| Microsoft Outlook/Word | CVE-2026-45458 | Microsoft Outlook and Word Remote Code Execution Vulnerability |
| Microsoft Office | CVE-2026-45460 | Microsoft Office Information Disclosure Vulnerability |
| Microsoft Outlook/Word | CVE-2026-47635 | Microsoft Outlook and Word Remote Code Execution Vulnerability |
| Microsoft Outlook/Word | CVE-2026-45456 | Microsoft Outlook and Word Remote Code Execution Vulnerability |
| Microsoft Office | CVE-2026-45461 | Microsoft Office Remote Code Execution Vulnerability |
| Nuance PowerScribe | CVE-2026-26142 | Nuance PowerScribe Remote Code Execution Vulnerability |
| Remote Desktop Client | CVE-2026-42985 | Remote Desktop Client Remote Code Execution Vulnerability |
| Remote Desktop Client | CVE-2026-47289 | Remote Desktop Client Remote Code Execution Vulnerability |
| Remote Desktop Client | CVE-2026-47654 | Remote Desktop Client Remote Code Execution Vulnerability |
| Remote Desktop Client | CVE-2026-42992 | Remote Desktop Client Remote Code Execution Vulnerability |
| Remote Desktop Client | CVE-2026-44801 | Remote Desktop Client Remote Code Execution Vulnerability |
| Remote Desktop Client | CVE-2026-44799 | Remote Desktop Client Remote Code Execution Vulnerability |
| Remote Desktop Client | CVE-2026-48563 | Remote Desktop Client Remote Code Execution Vulnerability |
| Windows Hyper-V | CVE-2026-45641 | Windows Hyper-V Remote Code Execution Vulnerability |
| Cryptographic Services | CVE-2026-44810 | Microsoft Cryptographic Services Elevation of Privilege Vulnerability |
| Deployment Services | CVE-2026-42987 | Windows Deployment Services (WDS) Remote Code Execution |
| Windows DHCP Client | CVE-2026-44815 | DHCP Client Service Remote Code Execution Vulnerability |
| Windows HTTP.sys | CVE-2026-47291 | HTTP.sys Remote Code Execution Vulnerability |
| Windows Hyper-V | CVE-2026-47652 | Windows Hyper-V Remote Code Execution Vulnerability |
| Windows Hyper-V | CVE-2026-45607 | Windows Hyper-V Remote Code Execution Vulnerability |
| Windows Kerberos | CVE-2026-47288 | Windows Kerberos Key Distribution Center (KDC) Remote Code Execution |
| Windows Kernel | CVE-2025-10263 | ARM: Completion of affected memory accesses might not be guaranteed [kernel] |
| Windows Kernel | CVE-2026-45657 | Windows Kernel Remote Code Execution Vulnerability |
| Windows Media | CVE-2026-48574 | Windows Media Remote Code Execution Vulnerability |
| Win32K Graphics | CVE-2026-44812 | Windows Graphics Component Remote Code Execution Vulnerability |
| Win32K Graphics | CVE-2026-44803 | Windows Graphics Component Remote Code Execution Vulnerability |
Langkah Penanganan Bagi Administrator dan Pengguna Umum
Mengingat masifnya perbaikan jajaran komponen krusial (mulai dari Windows Kernel, DHCP, DNS, hingga modul perkantoran Microsoft Office), seluruh pengguna sistem operasi Windows diimbau untuk segera melakukan instalasi pembaruan:
- Pengguna Windows 11 Home/Pro: Masuk ke menu Start > Settings > Windows Update, lalu klik Check for Updates untuk mengunduh kumulatif patch KB5094126 atau KB5093998.
- Administrator Server: Terapkan pembaruan patch pada Windows Server secara berkala melalui WSUS atau Microsoft Update Catalog, serta pastikan untuk mengevaluasi parameter settingan baru
MaxHeadersCountguna melindungi IIS web server dari ancaman serangan HTTP/2 Bomb.
Sumber: Microsoft Security Response Center (MSRC)
