Morten Lyhne Petersen
Microsoft Defender, Android og Exim står øverst på listen over sårbarheder, der bliver misbrugt netop nu.
Den amerikanske cybersikkerhedsmyndighed CISA satte 3. juni 2026 som deadline for, hvornår føderale myndigheder skulle lukke syv sårbarheder, som angribere allerede udnytter i den virkelige verden. Listen omfatter blandt andet to fejl i Microsoft Defender og ledsages af en aktivt udnyttet Android-fejl og et kritisk hul i mailserveren Exim.
Deadlinen følger af Binding Operational Directive 22-01, der pålægger føderale civile styrelser at lukke kendte, udnyttede sårbarheder inden for kort tid. CISA opfordrer samtidig private virksomheder til at behandle datoen som en arbejdsfrist, da der er bekræftet aktiv udnyttelse.
To Defender-huller med systemrettigheder
De to mest opsigtsvækkende sårbarheder rammer Microsoft Defender. CVE-2026-41091 er en privilegieeskalering, der kan give en angriber fulde SYSTEM-rettigheder på en Windows-maskine. Fejlen ligger i Microsoft Malware Protection Engine, der ifølge The Hacker News håndterer fil-links forkert under en scanning.
Den anden Defender-fejl, CVE-2026-45498, er en denial of service-sårbarhed, der kan slå sikkerhedsproduktet ud af drift.
Microsoft har udsendt rettelser til begge fejl, skriver Help Net Security. Opdateringen distribueres automatisk via Microsoft Defenders egen opdateringsmekanisme.
Android-zero-day rammer alle producenter
Sideløbende med CISA-deadlinen har Google offentliggjort CVE-2025-48595, en zero-day i Android Framework. Fejlen er en integer overflow, der gør det muligt for en angriber med kodeeksekvering på enheden at hæve sine rettigheder til systemniveau uden brugerinteraktion.
Google bekræfter aktiv udnyttelse, men holder formuleringen tilbageholdende. I Android Security Bulletin for juni 2026 lyder formuleringen, at der er indikationer på begrænset, målrettet udnyttelse. Det er den standardformulering, Google bruger, når kommercielle spywareleverandører eller statsstøttede aktører jagter konkrete personer.
Fejlen ligger i selve Frameworket og rammer dermed enheder fra alle producenter på de berørte Android-versioner ifølge bulletinen. Juni-opdateringen dækker i alt 124 sårbarheder, oplyser Bleeping Computer.
Kritisk hul i en stor del af verdens mailservere
Sideløbende har Exim-projektet hastepatchet et hul, der kan udnyttes uden login. CVE-2026-45185, døbt “Dead.Letter”, har CVSS-score 9,8 og rammer Exim-versioner fra 4.97 til og med 4.99.2, hvis de er bygget med GnuTLS som TLS-bibliotek.
Sårbarheden er en såkaldt use-after-free, hvor serveren skriver til hukommelse, der allerede er frigivet. Det sker, når en klient afslutter sin TLS-forbindelse midt under en BDAT-overførsel — en mekanisme, der bruges til at sende store mailbeskeder — og derefter sender en sidste byte i klartekst. Resultatet kan være kodeudførelse på serveren.
Exim driver en stor del af verdens mailservere, og fejlen er rettet i version 4.99.3. Der findes ingen midlertidige modforanstaltninger, og brugerne bør opdatere snarest muligt, skriver The Hacker News.
