Microsoft Patch Tuesday June 2026 Fixes 206 Flaws
🔗 https://cybersecurefox.com/en/microsoft-june-2026-patch-tuesday-206-vulnerabilities
#microsoft #patch #tuesday #june #2026 #windows #vulnerabilities #zero-day #exploits #bitlocker #bypass #http2 #bomb
Wir haben einen Bug gefunden, der vor uns offenbar nirgends dokumentiert war: OpenAIs HTTP/2-Client sendet führende Leerzeichen im :path-Header. OpenLiteSpeed quittiert das mit seiner 404-Seite, im Log steht „HT2". Ergebnis bei uns: 634 von 634 ChatGPT-Live-Abrufen tot, wochenlang, ohne einen einzigen Alarm.
Beweiskette, Reproduktion mit python-h2 und der Fix (selektives ALPN-Downgrade nur für OpenAI-IPs):
https://hechtinsgefecht.de/chatgpt-crawler-bug/
Microsoft Patch Tuesday Disrupts 200 Vulnerabilities, Zero-Day Exploits
Microsoft's June Patch Tuesday update is a doozy, tackling a whopping 200 vulnerabilities, including three zero-day exploits and 33 critical flaws that could lead to remote code execution. This crucial update aims to prevent a range of issues, from denial-of-service attacks to elevation of privilege and information disclosure.
Microsoft corrige 200 vulnerabilidades en el Patch Tuesday de junio 2026
La actualización mensual de seguridad incluye casi 40 fallas críticas en Windows, Azure, Office, Outlook y Exchange, y suma 360 correcciones adicionales en componentes de terceros. Tres vulnerabilidades ya habían sido divulgadas públicamente antes de ser parcheadas (Fuente Microsoft).
El Patch Tuesday de junio 2026 de Microsoft es uno de los más voluminosos del año. Las actualizaciones de seguridad de junio de 2026 corrigen aproximadamente 200 vulnerabilidades descubiertas en los productos de la compañía. Ninguna parece haber sido explotada en el mundo real, pero tres problemas fueron divulgados públicamente antes de que Microsoft los parcheara.
Las tres vulnerabilidades previamente expuestas concentran la atención de los investigadores. La primera es CVE-2026-49160, un problema de denegación de servicio (DoS) en Windows relacionado con HTTP2/Bomb, una técnica de ataque capaz de dejar fuera de línea servidores web en segundos y que podría afectar a cientos de miles de sitios. La segunda es CVE-2026-50507, un bypass de seguridad en Windows BitLocker que permite a un atacante con acceso físico al sistema acceder a datos cifrados. La falla podría estar relacionada con YellowKey, uno de los exploits filtrados por un investigador conocido como Chaotic Eclipse y Nightmare Eclipse tras una disputa con Microsoft, cuyas filtraciones previas ya fueron aprovechadas en ataques reales. La tercera es CVE-2026-45586, un bug en Windows Collaborative Translation Framework que permite elevar privilegios al nivel System, reportado por un investigador anónimo. Las tres recibieron la calificación de «explotación más probable» por parte de Microsoft.
En el panorama general del parche, casi 40 de las aproximadamente 200 vulnerabilidades tienen calificación crítica. Afectan a Windows, Azure, Office, Outlook, Exchange y herramientas de IA, y su explotación puede derivar en ejecución remota de código, escalada de privilegios y divulgación de información. A ese número se suma un volumen adicional significativo: Microsoft publicó avisos de seguridad para 360 problemas adicionales que afectan a componentes de terceros utilizados por su software.
En paralelo, Adobe también lanzó sus actualizaciones de Patch Tuesday de junio, corrigiendo más de 120 vulnerabilidades. Para los equipos de seguridad IT, la primera semana de junio implica una carga de trabajo considerable. La recomendación es clara: aplicar las actualizaciones cuanto antes, especialmente en entornos con BitLocker activo o servidores web expuestos.
#Actualizacion #adobe #azure #BitLocker #ciberseguridad #CVE #exchange #HTTP2 #microsoft #office #PatchTuesday #PORTADA #SeguridadInformatica #vulnerabilidades #windows
[Перевод] Создаём HTTP/2-сервер на C++ и хостим на нём свой сайт
Что будет, если написать HTTP/2-сервер на C++23 с нуля, собрать для него минимальный контейнер и выставить всё это в интернет? Я проверил проект на реальном трафике, усилил защиту бинарника и контейнера, столкнулся с ограничениями Cloudflare, bunny.net и Cloud Run, а заодно поймал утечку памяти в OpenSSL. Получился практический разбор того, где заканчивается учебный эксперимент и начинается эксплуатация системного кода. Заглянуть под капот
https://habr.com/ru/companies/otus/articles/1044058/
#C++ #http2 #c++23 #вебсервер #системное_программирование #контейнеризация #tls #безопасность_контейнеров #управление_памятью #OpenSSL
With the rise of AI coding assistants continuing apparently unabated, some project maintainers have begun striking back. Ars Technica reports on projects putting hostile directions into the AGENTS.…
This Week in Security: Messing with AI, 7Zip and Notepad++ Vulnerabilities, HTTP2 Bomb, and More
@flxtr anscheinend sind es die closed-source HTTP/2 server wider die, die noch nicht schnell gepatcht sind 
https://tech.lgbt/@lerothas/116692832291204241
#http2 #break #http2Bomb #compression #web #http #nginx #Apache #httpd #Microsoft #IIS #Envoy #Cloudflare #Pingora #Apachehttpd #MicrosoftIIS #CloudflarePingora #webserver #server
Die Open Source Programme nginx und Apache httpd sind bereits gepatcht, die Closed Source Programme von u.a. MicroSlop sind noch angreifbar. Aber Open Source isr ja viel zu unsicher und eh nur Hobby Projekte. Nicht wahr? Nur ein Client nötig HTTP/2 Bomb legt Webserver in Sekunden lahm https://www.golem.de/news/nur-ein-client-noetig-http-2-bomb-legt-webserver-in-sekunden-lahm-2606-209396.html #nginx #apachehttpd #MicrosoftIIS #http2bomb #opensource
📰 New 'HTTP/2 Bomb' Exploit Can Crash NGINX, Apache, and Other Major Web Servers in Seconds
💣 A new 'HTTP/2 Bomb' exploit can knock major web servers (NGINX, Apache, IIS) offline in seconds. The attack chains known bugs to create a potent DoS threat. 880,000+ sites potentially at risk. #DoS #Vulnerability #HTTP2
🌐 cyber[.]netsecops[.]io
CyberSecureFox 
HECHT INS GEFECHT
Analyst207
infosertecla.com
Bobe'bot on security
Habr
13
𝕂𝚞𝚋𝚒𝚔ℙ𝚒𝚡𝚎𝚕
CyberNetsecIO