{"id":67,"date":"2026-06-12T04:29:22","date_gmt":"2026-06-12T04:29:22","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/12\/patch-tuesday-giugno-2026\/"},"modified":"2026-06-12T04:30:51","modified_gmt":"2026-06-12T04:30:51","slug":"patch-tuesday-giugno-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/12\/patch-tuesday-giugno-2026\/","title":{"rendered":"Patch Tuesday Giugno 2026: 208 CVE, 3 Zero-Day [2026]"},"content":{"rendered":"\n

Il 9 giugno 2026 Microsoft ha pubblicato il Patch Tuesday di giugno 2026<\/strong>, il pi\u00f9 voluminoso della sua storia. Tra le 204 e le 208 vulnerabilit\u00e0 corrette in un solo giorno, secondo la fonte consultata, con 38 falle classificate come critiche e tre zero-day divulgati pubblicamente prima del rilascio. Per i team di sicurezza europei, gi\u00e0 sotto pressione dopo la campagna Ivanti EPMM di inizio anno, \u00e8 il segnale che il ritmo della manutenzione di sicurezza non \u00e8 pi\u00f9 sostenibile con i metodi tradizionali. Questa analisi raccoglie i numeri, le CVE da installare per prime, le voci degli esperti e cosa aspettarsi nei prossimi mesi.<\/p>\n\n\n\n

Patch Tuesday giugno 2026: un rilascio da record<\/h2>\n\n\n\n

Il Patch Tuesday giugno 2026<\/strong> entra negli annali per pura dimensione. La Zero Day Initiative (ZDI) di Trend Micro ha conteggiato 208 CVE corrette da Microsoft, un primato assoluto per un singolo ciclo mensile. Il SANS Internet Storm Center ne ha contate 204, mentre Qualys ne riporta 206, di cui 33 critiche e 167 importanti. La differenza dipende dal metodo di conteggio (alcune fonti includono o escludono le falle Edge basate su Chromium e i bollettini di terze parti). Applicando la regola della cifra pi\u00f9 conservativa, parliamo comunque di oltre 200 vulnerabilit\u00e0 chiuse in 24 ore.<\/p>\n\n\n\n

Il dato che cattura la portata reale arriva sempre da ZDI: includendo le CVE Chromium e gli altri prodotti di terze parti aggiornati nello stesso giorno, il totale di giugno 2026 sale a 571 CVE. \u00c8 il volume di lavoro che un amministratore di sistema deve valutare, prioritizzare e distribuire in una finestra di pochi giorni. Una parte consistente delle correzioni Microsoft riguarda l’esecuzione di codice remoto (RCE), la categoria pi\u00f9 temuta perch\u00e9 consente a un attaccante di prendere il controllo di una macchina senza interazione dell’utente.<\/p>\n\n\n\n

Il pacchetto copre l’intero ecosistema Microsoft: Windows e i suoi componenti, Office, Microsoft Edge, Azure, .NET e Visual Studio, Exchange Server, Hyper-V, Secure Boot, BitLocker, Defender e, per la prima volta in modo cos\u00ec esteso, gli assistenti basati su intelligenza artificiale M365 Copilot e GitHub Copilot. Tre vulnerabilit\u00e0 erano gi\u00e0 di dominio pubblico al momento del rilascio, e almeno una risultava sfruttata attivamente in attacchi reali.<\/p>\n\n\n\n

I tre zero-day divulgati pubblicamente a giugno 2026<\/h2>\n\n\n\n

La parte pi\u00f9 urgente di ogni Patch Tuesday<\/strong> sono le falle gi\u00e0 note ai criminali. A giugno 2026 le fonti concordano su tre zero-day divulgati pubblicamente prima della pubblicazione delle patch. La pi\u00f9 grave \u00e8 CVE-2026-41091<\/strong>, una vulnerabilit\u00e0 di elevazione dei privilegi (EoP) in Microsoft Defender, con punteggio CVSS 7.8. ZDI la classifica come gi\u00e0 sfruttata in attacchi reali e contemporaneamente divulgata pubblicamente: la combinazione peggiore, perch\u00e9 significa che il codice di attacco circola e funziona.<\/p>\n\n\n\n

Una falla di elevazione dei privilegi non apre da sola la porta di un sistema, ma \u00e8 l’anello che trasforma un accesso limitato in controllo totale. Un attaccante che ottiene un punto d’appoggio tramite phishing o una credenziale rubata usa una EoP come CVE-2026-41091 per scalare fino ai privilegi di SYSTEM, disattivare le difese e muoversi lateralmente. Il fatto che il bersaglio sia proprio Defender, lo strumento di sicurezza integrato in Windows, rende l’episodio particolarmente delicato per le aziende che fanno affidamento sulla protezione nativa del sistema operativo.<\/p>\n\n\n\n

Gli altri due zero-day divulgati sono CVE-2026-49160<\/strong>, una negazione del servizio (DoS) in HTTP.sys, e CVE-2026-50507<\/strong>, un bypass delle funzioni di sicurezza in BitLocker. Nessuno dei due risultava sfruttato attivamente nella tabella ZDI al momento del rilascio, ma la divulgazione pubblica anticipata accorcia drasticamente la finestra tra conoscenza della falla e primo exploit. Il bypass di BitLocker preoccupa in particolare chi gestisce flotte di portatili: consente, in determinate condizioni di accesso fisico, di aggirare la cifratura del disco che molte organizzazioni considerano l’ultima linea di difesa contro il furto di un dispositivo.<\/p>\n\n\n\n

CVE-2026-45657: il kernel di Windows con CVSS 9.8<\/h2>\n\n\n\n

Tra le 38 vulnerabilit\u00e0 critiche, la pi\u00f9 pesante per punteggio \u00e8 CVE-2026-45657<\/strong>, una RCE nel kernel di Windows con CVSS 9.8, a un soffio dal massimo teorico di 10. Una falla nel kernel \u00e8 la pi\u00f9 ambita dagli attaccanti perch\u00e9 il kernel \u00e8 il cuore del sistema operativo: chi esegue codice a quel livello controlla l’intera macchina, aggira la maggior parte delle protezioni e pu\u00f2 installare rootkit invisibili agli antivirus tradizionali.<\/p>\n\n\n\n

Il punteggio 9.8 indica una vulnerabilit\u00e0 sfruttabile da remoto, senza autenticazione e senza interazione dell’utente. Sono le condizioni ideali per un worm, ossia un malware capace di propagarsi da solo da una macchina vulnerabile all’altra. Microsoft non ha segnalato sfruttamento attivo al momento del rilascio, ma le falle del kernel con questo profilo diventano spesso bersaglio di reverse engineering nelle ore successive alla pubblicazione della patch, quando i ricercatori (e i criminali) confrontano il codice corretto con quello vulnerabile per ricostruire l’exploit.<\/p>\n\n\n\n

Per le organizzazioni europee soggette alla direttiva NIS2, una RCE non autenticata nel kernel di Windows non \u00e8 un problema solo tecnico ma di conformit\u00e0. NIS2 impone agli operatori di servizi essenziali e importanti la gestione tempestiva delle vulnerabilit\u00e0 note e la notifica degli incidenti entro finestre precise. Lasciare scoperta una CVE 9.8 documentata pubblicamente espone a sanzioni regolatorie oltre che al rischio di compromissione.<\/p>\n\n\n\n

CVE-2026-47291: HTTP.sys, la falla da installare per prima<\/h2>\n\n\n\n

Se il kernel detiene il punteggio pi\u00f9 alto, l’analisi di Lansweeper indica CVE-2026-47291<\/strong> come la correzione da applicare per prima questo mese. Si tratta di una RCE in HTTP.sys, il driver in modalit\u00e0 kernel che gestisce tutto il traffico HTTP in entrata sui sistemi Windows. HTTP.sys \u00e8 esposto direttamente a Internet su qualsiasi server web Microsoft, su molti servizi e su componenti applicativi che ascoltano richieste web. Una falla qui significa che un pacchetto malevolo inviato a un server pu\u00f2, in teoria, eseguire codice prima ancora che qualsiasi applicazione lo veda.<\/p>\n\n\n\n

Le vulnerabilit\u00e0 di HTTP.sys hanno una storia inquietante. La CVE-2021-31166 e la pi\u00f9 recente CVE-2022-21907 furono entrambe considerate potenzialmente “wormable”, ossia capaci di alimentare un malware auto-propagante in stile WannaCry. La superficie di attacco \u00e8 enorme: ogni endpoint Windows con un servizio HTTP attivo \u00e8 un bersaglio. Per questo i team di risposta agli incidenti collocano le falle HTTP.sys in cima alla lista, davanti persino a quelle con CVSS nominalmente superiore, perch\u00e9 la facilit\u00e0 di sfruttamento da remoto e l’esposizione diretta a Internet ne fanno un moltiplicatore di rischio.<\/p>\n\n\n\n

CVE-2026-48579: Exchange e il rischio per la posta aziendale<\/h2>\n\n\n\n

La posta elettronica resta uno dei bersagli preferiti, e giugno 2026 non fa eccezione. CVE-2026-48579<\/strong> \u00e8 una vulnerabilit\u00e0 di divulgazione di informazioni in Microsoft Exchange Online con CVSS 9.1. Pur trattandosi di information disclosure e non di esecuzione di codice, il punteggio elevato riflette il valore dei dati esposti: in un ambiente Exchange compromesso, la divulgazione di informazioni pu\u00f2 significare accesso a token di autenticazione, metadati di posta o contenuti che aprono la strada ad attacchi successivi.<\/p>\n\n\n\n

Il contesto storico pesa. Le falle di Exchange hanno alimentato alcuni degli incidenti pi\u00f9 ampi degli ultimi anni, dalla catena ProxyLogon del 2021 alla famiglia ProxyShell. Microsoft ha spinto molti clienti verso Exchange Online proprio per centralizzare la gestione delle patch, ma una CVE 9.1 sul servizio cloud dimostra che la migrazione non elimina il rischio, lo sposta. Per le aziende italiane ancora su Exchange Server on-premise, il messaggio \u00e8 duplice: applicare la correzione e accelerare la valutazione di una migrazione gestita, perch\u00e9 l’esposizione di un server di posta self-hosted resta tra le pi\u00f9 sfruttate dai gruppi di attacco.<\/p>\n\n\n\n

Office, Outlook e Word: una raffica di RCE critiche<\/h2>\n\n\n\n

Il vettore documentale resta la porta d’ingresso pi\u00f9 comune negli ambienti aziendali, e a giugno 2026 Microsoft ha corretto un blocco consistente di RCE critiche nella suite Office. Le CVE-2026-45461, CVE-2026-45463, CVE-2026-45472 e CVE-2026-45474 sono tutte RCE in Microsoft Office con CVSS 8.4. A queste si aggiungono CVE-2026-45456, CVE-2026-45458 e CVE-2026-47635, RCE critiche in Outlook e Word, anch’esse con CVSS 8.4.<\/p>\n\n\n\n

Il pericolo di queste falle \u00e8 amplificato dal riquadro di anteprima (Preview Pane). Diverse vulnerabilit\u00e0 Office storicamente si attivano senza che l’utente apra realmente il file: la semplice visualizzazione dell’anteprima in Outlook basta a innescare l’esecuzione del codice. Significa che un’email malevola pu\u00f2 compromettere un endpoint con zero clic da parte della vittima. Per i reparti IT, questo sposta la difesa dalla formazione degli utenti (utile ma insufficiente) all’applicazione rigorosa e rapida delle patch.<\/p>\n\n\n\n

Microsoft segnala separatamente CVE-2026-45460, una divulgazione di informazioni in Office con CVSS 4.7 causata da un buffer over-read. Il punteggio basso non deve ingannare: le falle di information disclosure a basso impatto sono spesso usate come tassello iniziale per costruire exploit pi\u00f9 sofisticati, fornendo agli attaccanti gli indirizzi di memoria necessari a bypassare le protezioni come ASLR.<\/p>\n\n\n\n

Hyper-V, BitLocker e Secure Boot: l’infrastruttura sotto pressione<\/h2>\n\n\n\n

Oltre agli endpoint, giugno 2026 colpisce i pilastri della virtualizzazione e dell’avvio sicuro. Le CVE-2026-45607 e CVE-2026-45641 sono RCE critiche in Windows Hyper-V, entrambe con CVSS 8.4. Le vulnerabilit\u00e0 Hyper-V sono fra le pi\u00f9 pericolose negli ambienti cloud e data center perch\u00e9 possono consentire una “guest-to-host escape”: un attaccante che controlla una macchina virtuale ospite riesce a evadere verso l’hypervisor e da l\u00ec verso tutte le altre VM sullo stesso host. Per i provider che condividono infrastruttura tra clienti diversi, \u00e8 lo scenario peggiore.<\/p>\n\n\n\n

Sul fronte dell’integrit\u00e0 del sistema, oltre al gi\u00e0 citato bypass di BitLocker (CVE-2026-50507), Microsoft ha aggiornato componenti legati a Secure Boot e ha corretto CVE-2026-33828, una elevazione di privilegi critica in Windows Device Health Attestation con CVSS 7.8. Queste falle erodono le garanzie hardware-based su cui si fonda la fiducia nel boot e nell’attestazione del dispositivo, meccanismi sempre pi\u00f9 centrali nelle architetture Zero Trust adottate dalle organizzazioni europee.<\/p>\n\n\n\n

M365 Copilot e GitHub Copilot: le prime CVE sull’AI integrata<\/h2>\n\n\n\n

Il dettaglio pi\u00f9 indicativo della direzione del settore \u00e8 la comparsa di vulnerabilit\u00e0 negli assistenti AI di Microsoft. CVE-2026-45497<\/strong> \u00e8 una falla critica in Microsoft M365 Copilot con CVSS 7.7, affiancata da CVE-2026-42824, anch’essa in M365 Copilot, con CVSS 6.5. ZDI conferma inoltre la presenza di GitHub Copilot tra i prodotti aggiornati nel ciclo di giugno.<\/p>\n\n\n\n

Sono fra le prime CVE assegnate ufficialmente agli assistenti AI integrati nella produttivit\u00e0 aziendale, e segnano un punto di svolta. Gli agenti AI hanno accesso a documenti, email, calendari e codice sorgente: una loro compromissione non espone un singolo file ma l’intero contesto operativo dell’utente. Le tecniche di prompt injection e di manipolazione del contesto, finora discusse soprattutto in ambito di ricerca, entrano ora nel processo formale di gestione delle vulnerabilit\u00e0. Questo tema si collega direttamente alle preoccupazioni gi\u00e0 emerse sulla sicurezza degli agenti autonomi, dove la superficie d’attacco si sposta dal codice ai dati e alle istruzioni.<\/p>\n\n\n\n

Le vulnerabilit\u00e0 pi\u00f9 gravi di giugno 2026 a confronto<\/h2>\n\n\n\n

La tabella seguente sintetizza le CVE pi\u00f9 rilevanti del rilascio di giugno 2026, con prodotto, tipologia, punteggio CVSS e stato di sfruttamento al momento della pubblicazione.<\/p>\n\n\n\n

\n
CVE<\/th>Prodotto<\/th>Tipo<\/th>CVSS<\/th>Stato<\/th><\/tr><\/thead>
CVE-2026-45657<\/td>Windows Kernel<\/td>RCE<\/td>9.8<\/td>Critica<\/td><\/tr>\n
CVE-2026-48579<\/td>Exchange Online<\/td>Divulgazione info<\/td>9.1<\/td>Critica<\/td><\/tr>\n
CVE-2026-47291<\/td>Windows HTTP.sys<\/td>RCE<\/td>Critica<\/td>Priorit\u00e0 n.1<\/td><\/tr>\n
CVE-2026-41091<\/td>Microsoft Defender<\/td>Elevazione privilegi<\/td>7.8<\/td>Sfruttata + divulgata<\/td><\/tr>\n
CVE-2026-45607<\/td>Windows Hyper-V<\/td>RCE<\/td>8.4<\/td>Critica<\/td><\/tr>\n
CVE-2026-45641<\/td>Windows Hyper-V<\/td>RCE<\/td>8.4<\/td>Critica<\/td><\/tr>\n
CVE-2026-45461<\/td>Microsoft Office<\/td>RCE<\/td>8.4<\/td>Critica<\/td><\/tr>\n
CVE-2026-47635<\/td>Outlook \/ Word<\/td>RCE<\/td>8.4<\/td>Critica<\/td><\/tr>\n
CVE-2026-50507<\/td>Windows BitLocker<\/td>Bypass sicurezza<\/td>–<\/td>Divulgata<\/td><\/tr>\n
CVE-2026-49160<\/td>Windows HTTP.sys<\/td>DoS<\/td>–<\/td>Divulgata<\/td><\/tr>\n
CVE-2026-45497<\/td>M365 Copilot<\/td>AI \/ accesso dati<\/td>7.7<\/td>Critica<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Cosa dicono gli esperti del Patch Tuesday giugno 2026<\/h2>\n\n\n\n

Gli analisti che ogni mese sezionano il rilascio Microsoft concordano su un punto: il volume non \u00e8 pi\u00f9 gestibile con i metodi tradizionali. Dustin Childs, responsabile della comunicazione delle minacce presso la Zero Day Initiative di Trend Micro, ha sottolineato la portata storica del rilascio, definendolo un mese da record con 208 CVE e invitando le aziende a non lasciarsi paralizzare dai numeri ma a concentrarsi sulle falle gi\u00e0 sfruttate e su quelle esposte a Internet.<\/p>\n\n\n\n

Secondo Satnam Narang, senior staff research engineer di Tenable, il tema ricorrente del 2026 \u00e8 la persistenza delle elevazioni di privilegi tra le falle sfruttate attivamente: gli attaccanti raramente bucano un sistema con una singola vulnerabilit\u00e0, ma concatenano un accesso iniziale con una EoP come CVE-2026-41091 per ottenere il controllo completo. La lezione, osserva, \u00e8 che le falle a punteggio medio non vanno declassate nella pianificazione delle patch.<\/p>\n\n\n\n

Adam Barnett, lead software engineer di Rapid7, richiama l’attenzione sulle falle esposte direttamente a Internet, indicando HTTP.sys ed Exchange come le superfici da chiudere per prime perch\u00e9 raggiungibili senza un punto d’appoggio preliminare nella rete. Chris Goettl, vice president of product management for security products di Ivanti, evidenzia la crescita strutturale del volume di vulnerabilit\u00e0, leggendola come la spinta definitiva verso modelli di gestione continua del rischio invece del ciclo mensile reattivo. Kev Breen, senior director of threat research di Immersive, aggiunge un avvertimento sul bypass di BitLocker: la cifratura del disco resta efficace, ma le aziende devono ricordare che protegge dal furto fisico, non da un attaccante gi\u00e0 presente nel sistema.<\/p>\n\n\n\n

Impatto sul mercato e sui team IT europei<\/h2>\n\n\n\n

Il record di giugno 2026 arriva in un momento di pressione regolatoria senza precedenti per le aziende europee. La direttiva NIS2, ora pienamente recepita negli Stati membri, estende gli obblighi di cybersicurezza a migliaia di organizzazioni che prima ne erano escluse e introduce la responsabilit\u00e0 diretta del management. Un volume di 200 CVE al mese significa che la gestione delle patch passa da attivit\u00e0 operativa a funzione di conformit\u00e0 con esposizione legale.<\/p>\n\n\n\n

Il mercato sta reagendo. La spesa in soluzioni di gestione automatizzata delle vulnerabilit\u00e0 e in piattaforme di “continuous risk management” accelera, perch\u00e9 nessun team umano riesce a triagliare manualmente centinaia di CVE in pochi giorni. Le aziende che si affidano ancora a fogli di calcolo e finestre di manutenzione mensili si trovano strutturalmente in ritardo. Il contesto italiano \u00e8 particolarmente esposto: il Cyber Security Report 2026 di TIM ha documentato una crescita del 14% degli attacchi ransomware in Italia nel 2025, con 166 casi, mentre a livello globale l’aumento \u00e8 stato del 42%. Molti di questi attacchi sfruttano proprio vulnerabilit\u00e0 note e non corrette, esattamente quelle che un Patch Tuesday da 200 CVE rischia di lasciare scoperte se la distribuzione non \u00e8 automatizzata.<\/p>\n\n\n\n

Per Microsoft, il volume crescente \u00e8 anche un tema reputazionale. Ogni mese da record alimenta il dibattito sulla qualit\u00e0 del codice e sulla cosiddetta “secure by design”, l’impegno pubblico dell’azienda a ridurre le vulnerabilit\u00e0 all’origine. Tre zero-day divulgati e una EoP sfruttata su Defender, il prodotto di sicurezza stesso, sono argomenti difficili da conciliare con quella promessa.<\/p>\n\n\n\n

Contesto storico: l’escalation dei Patch Tuesday<\/h2>\n\n\n\n

Il Patch Tuesday nasce nel 2003 come tentativo di Microsoft di portare ordine in un panorama di aggiornamenti caotici. Per anni un ciclo mensile ha oscillato tra poche decine e un centinaio di correzioni. Il superamento stabile delle 100 CVE mensili \u00e8 un fenomeno relativamente recente, e il salto oltre quota 200 di giugno 2026 segna un cambio di regime. La tabella seguente mette in prospettiva i numeri chiave del rilascio secondo le diverse fonti.<\/p>\n\n\n\n

\n
Indicatore (giugno 2026)<\/th>Valore<\/th>Fonte<\/th><\/tr><\/thead>
CVE Microsoft corrette (conteggio basso)<\/td>204<\/td>SANS ISC<\/td><\/tr>\n
CVE Microsoft corrette (conteggio alto)<\/td>208<\/td>Zero Day Initiative<\/td><\/tr>\n
CVE corrette (stima intermedia)<\/td>206<\/td>Qualys<\/td><\/tr>\n
Vulnerabilit\u00e0 critiche<\/td>38<\/td>SANS ISC<\/td><\/tr>\n
Totale con Chromium e terze parti<\/td>571<\/td>Zero Day Initiative<\/td><\/tr>\n
Zero-day divulgati pubblicamente<\/td>3<\/td>SANS \/ Qualys<\/td><\/tr>\n
Zero-day sfruttati attivamente<\/td>1 (CVE-2026-41091)<\/td>Zero Day Initiative<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

La tendenza non \u00e8 casuale. L’aumento del volume riflette tre dinamiche convergenti: una superficie di prodotto in espansione (Azure, Copilot, decine di componenti cloud), programmi di bug bounty pi\u00f9 maturi che portano alla luce pi\u00f9 falle, e una pressione di sfruttamento crescente che spinge Microsoft a correggere pi\u00f9 aggressivamente. Il risultato \u00e8 che la metrica rilevante non \u00e8 pi\u00f9 “quante patch” ma “quanto velocemente le applichi sulle falle che contano”.<\/p>\n\n\n\n

Cosa fare adesso: priorit\u00e0 di patching per le aziende<\/h2>\n\n\n\n

Con oltre 200 CVE, applicare tutto in blocco \u00e8 irrealistico per la maggior parte delle organizzazioni. La strategia corretta \u00e8 il triage basato sul rischio. In cima alla lista vanno le falle esposte a Internet e gi\u00e0 sfruttate o divulgate: CVE-2026-47291<\/strong> (HTTP.sys), CVE-2026-48579<\/strong> (Exchange Online), CVE-2026-41091<\/strong> (Defender, sfruttata attivamente) e la RCE del kernel CVE-2026-45657<\/strong>.<\/p>\n\n\n\n