Microsoft ha pubblicato il suo Patch Tuesday di giugno stabilendo un primato assoluto: 206 vulnerabilità comuni ed esposizioni (CVE) corrette in un solo ciclo mensile, di cui 38 classificate come critiche e tre già di pubblico dominio. L'evento, che riguarda l'intero ecosistema di prodotti della multinazionale tecnologica di Redmond, Washington, segna un'escalation senza precedenti nella frequenza e nel volume delle patch di sicurezza, sollevando interrogativi strutturali sulla sostenibilità del modello attuale.
Il dato quantitativo va contestualizzato: secondo Dustin Childs, responsabile della ricerca sulle vulnerabilità presso Zero Day Initiative, il totale di CVE rilasciate da Microsoft nel 2025 supera già l'intero volume registrato nell'anno 2018. Si tratta di una pressione operativa senza precedenti per i team di sicurezza informatica aziendali, i cosiddetti sysadmin e i responsabili della gestione delle vulnerabilità, che si trovano a dover processare, classificare e applicare patch a un ritmo che nessun processo tradizionale era stato progettato per sostenere.
Dietro l'impennata c'è quasi certamente l'intelligenza artificiale. Tom Gallagher, vicepresidente dell'ingegneria presso il Microsoft Security Response Center, aveva anticipato la tendenza commentando il Patch Tuesday di maggio — quando un sistema agente sviluppato internamente aveva identificato 16 delle 137 vulnerabilità rilevate — dichiarando che "ci aspettiamo che i rilasci continuino a crescere per qualche tempo". Giugno ha confermato la previsione, superando maggio sia per volume complessivo che per numero di bug critici. Resta però aperta la domanda su quante delle 206 patch siano state generate con l'ausilio dell'IA, e quali rischi di qualità questo possa introdurre nel codice stesso delle correzioni.
Tra le tre vulnerabilità già di pubblico dominio, quella che presenta le implicazioni più ampie per le infrastrutture aziendali è CVE-2026-49160, una falla di tipo denial-of-service nel componente HTTP.sys. Scoperta dal ricercatore Quang Luong con il supporto dell'agente Codex di OpenAI e denominata "HTTP/2 Bomb", sfrutta l'algoritmo di compressione degli header HTTP/2 per forzare un'allocazione rapida di memoria e mandare in crash il server. La correzione introdotta da Microsoft prevede una nuova impostazione di registro, MaxHeadersCount, che permette di limitare il numero di header nelle richieste.
La seconda vulnerabilità nota, CVE-2026-50507, riguarda un bypass di BitLocker, il sistema di cifratura dei dispositivi Windows. Classificata come "più probabile l'exploitation", richiede accesso fisico al sistema ma consente di aggirare la cifratura e accedere ai dati protetti. Secondo le ricostruzioni degli analisti, potrebbe essere collegata alla disputa in corso tra Microsoft e un ricercatore noto come Nightmare Eclipse, che ha già reso pubblici sei zero-day con relativo codice exploit, con ulteriori divulgazioni preannunciate.
Sul fronte delle vulnerabilità critiche con punteggio CVSS 9.8, spiccano due falle di esecuzione remota di codice (RCE): CVE-2026-45657, nel kernel Windows, e CVE-2026-47291, ancora in HTTP.sys. Entrambe non richiedono interazione con l'utente. Alex Vovk, CEO di Action1, società specializzata in patch management, ha dichiarato a The Register che CVE-2026-47291 "crea un rischio di business grave, perché HTTP.sys è utilizzato dai servizi Windows che processano il traffico HTTP", con scenari che includono compromissione dei server, furto di dati e movimenti laterali nelle reti aziendali.
La buona notizia pratica è che i sistemi che utilizzano il valore predefinito del registro MaxRequestBytes per lo stack HTTP di Windows non risultano esposti a CVE-2026-47291. Microsoft ha pubblicato istruzioni dettagliate per la modifica del registro come misura temporanea in attesa del deploy della patch. Resta però da chiedersi se il settore della sicurezza informatica — e le organizzazioni che ne dipendono — stia semplicemente inseguendo una curva di complessità destinata ad accelerare ulteriormente, senza che esistano ancora strumenti, processi o risorse umane adeguati a governarla.