Rekordot döntött a Microsoft: 622 javított hiba a 2026. júliusi Patch Tuesday-ben – ezért frissíts most azonnal

Rekordot döntött a Microsoft: 622 javított hiba a 2026. júliusi Patch Tuesday-ben – ezért frissíts most azonnal

Mi történt július 14-én?

Minden hónap második keddjén — angolul Patch Tuesday, azaz „frissítőkedd” néven — a Microsoft egyszerre adja ki az adott hónap összegyűjtött biztonsági javításait a Windowshoz és a többi termékéhez. Ez általában rutinesemény, 2026 júliusában azonban történelmi rekord született: a Microsoft 570 sérülékenységet javított egyetlen nap alatt — a biztonsági cégek tágabb számítása szerint, amely a hónap elején külön javított felhőszolgáltatásokat is beszámítja, összesen 622 CVE-t. Összehasonlításképp: a júniusi, akkor szintén rekordernek számító csomag „mindössze” 206 hibát javított, vagyis a júliusi mennyiség nagyjából a háromszorosa az egy hónappal korábbi rekordnak.

A javított hibák között 59 kritikus besorolású található: ezek közül 48 távoli kódfuttatást (RCE) tesz lehetővé, 9 jogosultság-kiterjesztést, egy biztonsági funkció megkerülését, egy pedig megszemélyesítést (spoofing). A teljes csomag kategóriánkénti megoszlása is beszédes: a legnagyobb csoportot a jogosultság-kiterjesztéses hibák adják (254 darab), ezt követik a távoli kódfuttatási (145), az információszivárgási (102), a szolgáltatásmegtagadási (35), a biztonsági funkciót megkerülő (17) és a megszemélyesítési (16) sérülékenységek.

A három zero-day: ezek a legfontosabbak

A zero-day (nulladik napi) sérülékenység olyan hibát jelent, amelyről a javítás megjelenése előtt már nyilvánosan tudni lehetett, vagy amelyet a támadók már a folt kiadása előtt kihasználtak. A júliusi csomag három ilyen hibát javít, ezek közül kettőt aktívan ki is használtak a támadók.

1. Active Directory Federation Services (CVE-2026-56155) — aktívan kihasznált

A legkomolyabb az Active Directory Federation Services (AD FS) jogosultság-kiterjesztési hibája. A hozzáférés-vezérlés nem megfelelő finomságú beállítása miatt egy alacsony jogosultságú, helyi támadó felhasználói beavatkozás nélkül, alacsony bonyolultságú támadással rendszergazdai jogosultságot szerezhet. A hiba CVSS-pontszáma 7,8, és a Microsoft megerősítette, hogy a támadók már a javítás előtt kihasználták. Ez elsősorban a vállalati környezeteket érinti, ahol az AD FS a bejelentkeztetés gerincét adja — az ilyen rendszereket üzemeltető rendszergazdáknak ez a hónap legégetőbb feladata.

2. BitLocker-megkerülés (CVE-2026-50661) — nyilvánosan ismert

A harmadik zero-day egy BitLocker biztonsági funkció megkerülését lehetővé tevő hiba, amelynek részletei már a javítás előtt nyilvánosságra kerültek, aktív kihasználásáról azonban egyelőre nem tudni. A BitLocker a Windows beépített lemeztitkosítása, amely ellopott vagy elveszett gépek esetén védi az adataidat — egy megkerülési hiba éppen ezt a védelmet gyengíti, ezért laptopot használóknak különösen ajánlott mielőbb frissíteni.

3. A második aktívan kihasznált hiba

A harmadik zero-day-t — a második aktívan kihasznált sérülékenységet — szintén a júliusi csomag foltozza; a biztonsági cégek elemzései emellett a SharePoint Servert és a távoli asztal (Remote Desktop) komponenseit emelik ki olyan területként, ahol a javítások telepítése nem tűr halasztást. A Remote Desktop Services és a Remote Desktop kliens több távoli kódfuttatási és információszivárgási javítást is kapott ebben a körben.

Miért lett hirtelen ilyen óriási a Patch Tuesday?

Jogos a kérdés: hogyan ugrott a havi javított hibák száma pár hónap alatt a szokásos 60–120-ról előbb 200 fölé, majd egyenesen 570-re? A válasz — talán nem meglepő módon — a mesterséges intelligencia. A Microsoft a megugrott mennyiséget egy AI-alapú sérülékenység-kereső rendszernek tulajdonítja, amely automatizáltan, proaktívan fésüli át a Windows kódbázisát, és jóval több hibát talál meg, mint a hagyományos módszerek — méghozzá ideális esetben még azelőtt, hogy a támadók bukkannának rájuk.

Ez kétélű fejlemény. Egyrészt jó hír: a hibák jelentős részét most házon belül találják meg és csendben javítják, mielőtt bárki kihasználhatná őket. Másrészt a biztonsági szakma szerint a „kis” Patch Tuesday-ek korszaka valószínűleg végleg lejárt: ahogy az AI-vezérelt hibakeresés a támadói oldalon is terjed, a gyártók kénytelenek lesznek tartani a tempót, a felhasználóknak pedig még fontosabbá válik a frissítések azonnali telepítése.

Kerberos: elkezdődött az RC4 kivezetése

A júliusi csomag másik fontos, kevésbé látványos újdonsága, hogy a Microsoft ezzel a frissítéssel megkezdte a régi Kerberos RC4 titkosítás kényszerített kivezetését a vállalati hálózatokban. Az RC4 egy évtizedek óta elavultnak számító titkosítási eljárás, amelyet a támadók a hírhedt „Kerberoasting” típusú támadásokban rendszeresen kihasználnak a tartományi jelszavak feltörésére. Otthoni felhasználóként ebből valószínűleg semmit nem veszel észre; rendszergazdaként viszont érdemes még a telepítés előtt ellenőrizni, maradt-e a hálózatban olyan régi eszköz vagy szolgáltatás, amely még RC4-re támaszkodik.

Melyik frissítést kell telepítened?

A gyakorlatban a legtöbb felhasználónak nem kell a CVE-számokkal foglalkoznia — elég tudni, melyik kumulatív csomag vonatkozik a saját rendszerére:

  • Windows 11 (aktuális kiadások): a júliusi kumulatív frissítés a KB5101650, illetve a régebbi Windows 11-verziókon a KB5099414 csomagként érkezik a Windows Update-en keresztül.

  • Windows 10: a Windows 10 általános támogatása 2025 októberében lejárt, ezért a júliusi biztonsági javításokat csak az ESU (Extended Security Updates) programba beiratkozott gépek kapják meg, a KB5099539 jelű csomagban. A Microsoft júniusban jelentette be, hogy az ESU-lefedettséget 2027. október 12-ig hosszabbította meg, a beiratkozásra pedig több hivatalos út is rendelkezésre áll. Ha még Windows 10-et használsz és nem vagy ESU-tag, a géped ezeket a javításokat nem kapja meg — ez önmagában komoly érv a Windows 11-re váltás vagy az ESU-regisztráció mellett.

  • Vállalati környezet: a frissítések a Microsoft Update Catalogból és WSUS-on keresztül is elérhetők; az SCCM-et vagy Intune-t használó rendszergazdáknak a frissítési tárolók szinkronizálása az első lépés.

Így telepítsd a frissítést lépésről lépésre

A frissítés telepítése néhány percet vesz igénybe, és a rendszer újraindítását igényli:

  • Kattints a Start gombra, majd nyisd meg a Gépházat (Beállítások).

  • Válaszd a bal oldali menü alján a Windows Update pontot.

  • Kattints a Frissítések keresése gombra, és várd meg, amíg a rendszer letölti a júliusi kumulatív csomagot.

  • A telepítés végén indítsd újra a gépet — a javítások jelentős része csak újraindítás után lép életbe.

Ha kíváncsi vagy, mit tudott a júliusi hónap eleji, újdonságokat hozó Windows 11-csomag, arról külön cikkben írtunk: Windows 11 2026. júliusi frissítés (KB5095093) — fontos azonban tudni, hogy az a korábbi, funkciókat hozó előzetes csomag volt, a mostani biztonsági javításokat a fenti, július 14-i frissítések tartalmazzák.

Nem csak a Microsoft: a Chrome és az Edge is rekordot döntött

Érdekesség, hogy a rekord nem korlátozódik a Windowsra. Ugyanebben a hónapban a Google 468 Chromium/Edge-hibát javított — ezeket a Microsoft nem számolja bele a saját Patch Tuesday-statisztikájába —, vagyis a teljes ökoszisztémában példátlan mennyiségű biztonsági javítás érkezett néhány hét alatt. A böngésződ frissítése tehát legalább olyan fontos, mint a Windowsé: a Chrome és az Edge a beállítások „Névjegy” oldalán ellenőrzi és telepíti automatikusan a legújabb verziót.

Mennyire sürgős a frissítés?

Röviden: nagyon. Mivel a csomag két olyan sérülékenységet is javít, amelyet a támadók már aktívan kihasználnak, minden nap késlekedés növeli a kockázatot — a foltok megjelenése után a támadók jellemzően napokon belül visszafejtik a javításokat, és tömegesen kezdik keresni a frissítetlen gépeket. A hasonló nyilvános exploitok veszélyeiről és arról, hogyan előzheted meg a bajt, korábban részletesen írtunk a biztonságos szoftverletöltésről szóló útmutatónkban.

A frissítés mellett érdemes a többi alapvető védelmi lépést is átnézni: erős, egyedi jelszavak használata (ebben segít a jelszókezelő-összehasonlításunk), kétlépcsős azonosítás bekapcsolása és rendszeres biztonsági mentés.

Gyakori kérdések

Elrontja a gépemet a frissítés?

A kumulatív frissítések ritkán, de okozhatnak kompatibilitási problémákat. A Windows 11 legutóbbi kiadásai azonban már tartalmazzák az új, továbbfejlesztett rendszer-visszaállítási lehetőségeket, így probléma esetén a frissítés a Gépház > Windows Update > Frissítési előzmények menüből eltávolítható. A két aktívan kihasznált zero-day miatt a mérleg egyértelmű: a frissítés elhagyásának kockázata jóval nagyobb, mint a telepítéséé.

Windows 10-et használok ESU nélkül. Mit tegyek?

A géped a júliusi (és minden további) biztonsági javításból kimarad, vagyis az itt felsorolt hibák egy része a rendszereden javítatlan marad. Két észszerű út van: beiratkozni az ESU-programba (amely 2027 októberéig ad védelmet), vagy — ha a hardver engedi — áttérni Windows 11-re. Hosszabb távon a frissítés nélküli Windows 10 használata internetre kötve egyre kockázatosabb.

Honnan tudom, hogy települt-e a frissítés?

Nyisd meg a Gépház > Windows Update > Frissítési előzmények oldalt: ha a listában szerepel a KB5101650 (vagy régebbi Windows 11-en a KB5099414) „Sikeresen telepítve” állapottal, a géped védett. A Winver parancs futtatásával a build-szám alapján is ellenőrizheted a telepítést.

Miért javít a Microsoft hirtelen ennyi hibát?

A cég egy AI-alapú, automatizált sérülékenység-kereső rendszert állított hadrendbe, amely a Windows kódbázisát átfésülve jóval több hibát talál meg, mint korábban. A megtalált hibák javítása jó hír; a mennyiség viszont azt jelzi, hogy a havi frissítések mostantól tartósan nagyobbak lesznek, a naprakészen tartás pedig még fontosabb.

Források: a Microsoft Security Update Guide hivatalos advisory-i, valamint a BleepingComputer, a gHacks, a Malwarebytes, a CrowdStrike, a Cybernews és a Windows Forum elemzései (2026. július 14–16.). A tényeket több, egymástól független forrás alapján állítottuk össze.

0 hozzászólások

A hozzászóláshoz kérjük, jelentkezz be.