Rekordot döntött a Microsoft: 622 javított hiba a 2026. júliusi Patch Tuesday-ben – ezért frissíts most azonnal
Mi történt július 14-én?
Minden hónap második keddjén — angolul Patch Tuesday, azaz „frissítőkedd” néven — a Microsoft egyszerre adja ki az adott hónap összegyűjtött biztonsági javításait a Windowshoz és a többi termékéhez. Ez általában rutinesemény, 2026 júliusában azonban történelmi rekord született: a Microsoft 570 sérülékenységet javított egyetlen nap alatt — a biztonsági cégek tágabb számítása szerint, amely a hónap elején külön javított felhőszolgáltatásokat is beszámítja, összesen 622 CVE-t. Összehasonlításképp: a júniusi, akkor szintén rekordernek számító csomag „mindössze” 206 hibát javított, vagyis a júliusi mennyiség nagyjából a háromszorosa az egy hónappal korábbi rekordnak.
A javított hibák között 59 kritikus besorolású található: ezek közül 48 távoli kódfuttatást (RCE) tesz lehetővé, 9 jogosultság-kiterjesztést, egy biztonsági funkció megkerülését, egy pedig megszemélyesítést (spoofing). A teljes csomag kategóriánkénti megoszlása is beszédes: a legnagyobb csoportot a jogosultság-kiterjesztéses hibák adják (254 darab), ezt követik a távoli kódfuttatási (145), az információszivárgási (102), a szolgáltatásmegtagadási (35), a biztonsági funkciót megkerülő (17) és a megszemélyesítési (16) sérülékenységek.
A három zero-day: ezek a legfontosabbak
A zero-day (nulladik napi) sérülékenység olyan hibát jelent, amelyről a javítás megjelenése előtt már nyilvánosan tudni lehetett, vagy amelyet a támadók már a folt kiadása előtt kihasználtak. A júliusi csomag három ilyen hibát javít, ezek közül kettőt aktívan ki is használtak a támadók.
1. Active Directory Federation Services (CVE-2026-56155) — aktívan kihasznált
A legkomolyabb az Active Directory Federation Services (AD FS) jogosultság-kiterjesztési hibája. A hozzáférés-vezérlés nem megfelelő finomságú beállítása miatt egy alacsony jogosultságú, helyi támadó felhasználói beavatkozás nélkül, alacsony bonyolultságú támadással rendszergazdai jogosultságot szerezhet. A hiba CVSS-pontszáma 7,8, és a Microsoft megerősítette, hogy a támadók már a javítás előtt kihasználták. Ez elsősorban a vállalati környezeteket érinti, ahol az AD FS a bejelentkeztetés gerincét adja — az ilyen rendszereket üzemeltető rendszergazdáknak ez a hónap legégetőbb feladata.
2. BitLocker-megkerülés (CVE-2026-50661) — nyilvánosan ismert
A harmadik zero-day egy BitLocker biztonsági funkció megkerülését lehetővé tevő hiba, amelynek részletei már a javítás előtt nyilvánosságra kerültek, aktív kihasználásáról azonban egyelőre nem tudni. A BitLocker a Windows beépített lemeztitkosítása, amely ellopott vagy elveszett gépek esetén védi az adataidat — egy megkerülési hiba éppen ezt a védelmet gyengíti, ezért laptopot használóknak különösen ajánlott mielőbb frissíteni.
3. A második aktívan kihasznált hiba
A harmadik zero-day-t — a második aktívan kihasznált sérülékenységet — szintén a júliusi csomag foltozza; a biztonsági cégek elemzései emellett a SharePoint Servert és a távoli asztal (Remote Desktop) komponenseit emelik ki olyan területként, ahol a javítások telepítése nem tűr halasztást. A Remote Desktop Services és a Remote Desktop kliens több távoli kódfuttatási és információszivárgási javítást is kapott ebben a körben.
Miért lett hirtelen ilyen óriási a Patch Tuesday?
Jogos a kérdés: hogyan ugrott a havi javított hibák száma pár hónap alatt a szokásos 60–120-ról előbb 200 fölé, majd egyenesen 570-re? A válasz — talán nem meglepő módon — a mesterséges intelligencia. A Microsoft a megugrott mennyiséget egy AI-alapú sérülékenység-kereső rendszernek tulajdonítja, amely automatizáltan, proaktívan fésüli át a Windows kódbázisát, és jóval több hibát talál meg, mint a hagyományos módszerek — méghozzá ideális esetben még azelőtt, hogy a támadók bukkannának rájuk.
Ez kétélű fejlemény. Egyrészt jó hír: a hibák jelentős részét most házon belül találják meg és csendben javítják, mielőtt bárki kihasználhatná őket. Másrészt a biztonsági szakma szerint a „kis” Patch Tuesday-ek korszaka valószínűleg végleg lejárt: ahogy az AI-vezérelt hibakeresés a támadói oldalon is terjed, a gyártók kénytelenek lesznek tartani a tempót, a felhasználóknak pedig még fontosabbá válik a frissítések azonnali telepítése.
Kerberos: elkezdődött az RC4 kivezetése
A júliusi csomag másik fontos, kevésbé látványos újdonsága, hogy a Microsoft ezzel a frissítéssel megkezdte a régi Kerberos RC4 titkosítás kényszerített kivezetését a vállalati hálózatokban. Az RC4 egy évtizedek óta elavultnak számító titkosítási eljárás, amelyet a támadók a hírhedt „Kerberoasting” típusú támadásokban rendszeresen kihasználnak a tartományi jelszavak feltörésére. Otthoni felhasználóként ebből valószínűleg semmit nem veszel észre; rendszergazdaként viszont érdemes még a telepítés előtt ellenőrizni, maradt-e a hálózatban olyan régi eszköz vagy szolgáltatás, amely még RC4-re támaszkodik.
Melyik frissítést kell telepítened?
A gyakorlatban a legtöbb felhasználónak nem kell a CVE-számokkal foglalkoznia — elég tudni, melyik kumulatív csomag vonatkozik a saját rendszerére:
Windows 11 (aktuális kiadások): a júliusi kumulatív frissítés a KB5101650, illetve a régebbi Windows 11-verziókon a KB5099414 csomagként érkezik a Windows Update-en keresztül.
Windows 10: a Windows 10 általános támogatása 2025 októberében lejárt, ezért a júliusi biztonsági javításokat csak az ESU (Extended Security Updates) programba beiratkozott gépek kapják meg, a KB5099539 jelű csomagban. A Microsoft júniusban jelentette be, hogy az ESU-lefedettséget 2027. október 12-ig hosszabbította meg, a beiratkozásra pedig több hivatalos út is rendelkezésre áll. Ha még Windows 10-et használsz és nem vagy ESU-tag, a géped ezeket a javításokat nem kapja meg — ez önmagában komoly érv a Windows 11-re váltás vagy az ESU-regisztráció mellett.
Vállalati környezet: a frissítések a Microsoft Update Catalogból és WSUS-on keresztül is elérhetők; az SCCM-et vagy Intune-t használó rendszergazdáknak a frissítési tárolók szinkronizálása az első lépés.
Így telepítsd a frissítést lépésről lépésre
A frissítés telepítése néhány percet vesz igénybe, és a rendszer újraindítását igényli:
Kattints a Start gombra, majd nyisd meg a Gépházat (Beállítások).
Válaszd a bal oldali menü alján a Windows Update pontot.
Kattints a Frissítések keresése gombra, és várd meg, amíg a rendszer letölti a júliusi kumulatív csomagot.
A telepítés végén indítsd újra a gépet — a javítások jelentős része csak újraindítás után lép életbe.
Ha kíváncsi vagy, mit tudott a júliusi hónap eleji, újdonságokat hozó Windows 11-csomag, arról külön cikkben írtunk: Windows 11 2026. júliusi frissítés (KB5095093) — fontos azonban tudni, hogy az a korábbi, funkciókat hozó előzetes csomag volt, a mostani biztonsági javításokat a fenti, július 14-i frissítések tartalmazzák.
Nem csak a Microsoft: a Chrome és az Edge is rekordot döntött
Érdekesség, hogy a rekord nem korlátozódik a Windowsra. Ugyanebben a hónapban a Google 468 Chromium/Edge-hibát javított — ezeket a Microsoft nem számolja bele a saját Patch Tuesday-statisztikájába —, vagyis a teljes ökoszisztémában példátlan mennyiségű biztonsági javítás érkezett néhány hét alatt. A böngésződ frissítése tehát legalább olyan fontos, mint a Windowsé: a Chrome és az Edge a beállítások „Névjegy” oldalán ellenőrzi és telepíti automatikusan a legújabb verziót.
Mennyire sürgős a frissítés?
Röviden: nagyon. Mivel a csomag két olyan sérülékenységet is javít, amelyet a támadók már aktívan kihasználnak, minden nap késlekedés növeli a kockázatot — a foltok megjelenése után a támadók jellemzően napokon belül visszafejtik a javításokat, és tömegesen kezdik keresni a frissítetlen gépeket. A hasonló nyilvános exploitok veszélyeiről és arról, hogyan előzheted meg a bajt, korábban részletesen írtunk a biztonságos szoftverletöltésről szóló útmutatónkban.
A frissítés mellett érdemes a többi alapvető védelmi lépést is átnézni: erős, egyedi jelszavak használata (ebben segít a jelszókezelő-összehasonlításunk), kétlépcsős azonosítás bekapcsolása és rendszeres biztonsági mentés.
Gyakori kérdések
Elrontja a gépemet a frissítés?
A kumulatív frissítések ritkán, de okozhatnak kompatibilitási problémákat. A Windows 11 legutóbbi kiadásai azonban már tartalmazzák az új, továbbfejlesztett rendszer-visszaállítási lehetőségeket, így probléma esetén a frissítés a Gépház > Windows Update > Frissítési előzmények menüből eltávolítható. A két aktívan kihasznált zero-day miatt a mérleg egyértelmű: a frissítés elhagyásának kockázata jóval nagyobb, mint a telepítéséé.
Windows 10-et használok ESU nélkül. Mit tegyek?
A géped a júliusi (és minden további) biztonsági javításból kimarad, vagyis az itt felsorolt hibák egy része a rendszereden javítatlan marad. Két észszerű út van: beiratkozni az ESU-programba (amely 2027 októberéig ad védelmet), vagy — ha a hardver engedi — áttérni Windows 11-re. Hosszabb távon a frissítés nélküli Windows 10 használata internetre kötve egyre kockázatosabb.
Honnan tudom, hogy települt-e a frissítés?
Nyisd meg a Gépház > Windows Update > Frissítési előzmények oldalt: ha a listában szerepel a KB5101650 (vagy régebbi Windows 11-en a KB5099414) „Sikeresen telepítve” állapottal, a géped védett. A Winver parancs futtatásával a build-szám alapján is ellenőrizheted a telepítést.
Miért javít a Microsoft hirtelen ennyi hibát?
A cég egy AI-alapú, automatizált sérülékenység-kereső rendszert állított hadrendbe, amely a Windows kódbázisát átfésülve jóval több hibát talál meg, mint korábban. A megtalált hibák javítása jó hír; a mennyiség viszont azt jelzi, hogy a havi frissítések mostantól tartósan nagyobbak lesznek, a naprakészen tartás pedig még fontosabb.
Források: a Microsoft Security Update Guide hivatalos advisory-i, valamint a BleepingComputer, a gHacks, a Malwarebytes, a CrowdStrike, a Cybernews és a Windows Forum elemzései (2026. július 14–16.). A tényeket több, egymástól független forrás alapján állítottuk össze.