Microsoft ha publicado su paquete de actualizaciones de seguridad de junio, que corrige decenas de vulnerabilidades calificadas como críticas en productos como Azure, Microsoft 365, Exchange Online, Office y Windows. Tres fallos en el kernel de Windows, en HTTP.sys y en el servicio DHCP Client permiten la ejecución remota de código sin autenticación y la toma completa del sistema. El boletín incluye también el cierre de YellowKey (CVE-2026-45585) y GreenPlasma (CVE-2026-50507), dos zero-days en BitLocker divulgados por el investigador Nightmare Eclipse, que permiten saltarse el cifrado de disco.
Poco después del cierre del Patchday, el mismo investigador reveló en su blog una tercera zero-day bautizada RoguePlanet, que afecta a Windows 10 y 11 totalmente parcheados a través de Microsoft Defender. Microsoft reaccionó con la actualización de definiciones 1.453.20.0, aunque pruebas independientes muestran que la detección es rudimentaria y se evade con un cambio trivial en el exploit. Por ahora no hay constancia de explotación en la wild, y el investigador ha aplazado la publicación de más zero-days prevista para el 14 de julio. Además, Microsoft confirmó que el parche previo para RedSun (CVE-2026-41091) en el motor antimalware de Defender no fue suficiente y tuvo que reforzarlo a finales de mayo.