החודש שבו מיקרוסופט תיקנה שיא של 200 חולשות — ולמה זה נוגע גם לכם

208 חולשות. 38 קריטיות. אחת מהן כבר מנוצלת בפועל. כל זה — ביום עדכונים אחד.

ב-9 ביוני 2026 פרסמה מיקרוסופט את מהדורת Patch Tuesday של החודש — וזו לא הייתה מהדורה רגילה. מדובר במספר השיאי הגבוה ביותר של חולשות שתוקנו במקביל בהיסטוריה של החברה. אם אתם לא מכירים את הנושא, זה הרגע הנכון להבין למה מדובר בכותרת שכדאי לעצור ולקרוא אותה.

מהו Patch Tuesday ולמה הוא קיים

מיקרוסופט מוציאה עדכוני אבטחה ביום שלישי השני של כל חודש — זהו ה-Patch Tuesday. לא מדובר בגחמה לוגיסטית: בעולם שבו מנהלי IT צריכים לתכנן פריסת עדכונים על פני אלפי מחשבים, יום קבוע ומוכר מאפשר תכנון מסודר.

אפשר לחשוב על זה כמו יום תחזוקה חודשי בבניין מגורים. פעם בחודש מגיע השרברב ומחליף כל ברז דולף, מצלמת מעקב שבורה, ומנעול שמתרופף — בבת אחת. באמצע החודש? לא בא אף אחד, אלא אם יש תקלה חמורה במיוחד. כך גם מיקרוסופט: עדכון חודשי מסודר, ורק במקרים קיצוניים היא מוציאה “out-of-band patch” מחוץ למחזור.

למה יוני 2026 שבר שיא

הנתונים מדברים בעד עצמם:

  • ~208 CVE תוקנו עבור Windows ורכיבים נלווים
  • כשמחשבים גם תיקונים ב-Chromium ורכיבי צד שלישי — המספר מגיע לסביבות 571
  • 38 חולשות דורגו קריטיות
  • חולשה אחת (CVE-2026-41091, Microsoft Defender Elevation of Privilege) כבר הייתה מנוצלת בפועל בעת הפרסום
  • 3 חולשות נוספות היו כבר ידועות פומבית לפני שפורסם התיקון

נוצלת בפועל — משמעות המונח: מישהו בעולם האמיתי, לרוב גורם עוין, כבר השתמש בחולשה הזו כנגד קורבנות. זה לא עוד חולשה תיאורטית. זה exploit שפועל כבר עכשיו.

ב-CVSS — מדד חומרה מ-0 עד 10 — שלוש מהחולשות הקריטיות קיבלו ציון 9.8. אחת מהן קיבלה 10.0 — הציון המקסימלי.

מה זה אומר “חולשה תולעתית” ולמה זה מפחיד

אחת החולשות שמשכה תשומת לב מיוחדת היא CVE-2026-45657 — חולשת RCE בלב גרעין Windows עצמו, קרנל ה-Kernel. ה-CVSS שלה: 9.8.

מה שהופך אותה לחמורה במיוחד: היא מוגדרת כ-”wormable” — כלומר, תולעתית.

חולשה תולעתית היא חולשה שמאפשרת לתוקף לא רק לפרוץ למחשב אחד, אלא לגרום לקוד הזדוני להתפשט מעצמו ממחשב למחשב ברשת, בלי שמשתמש אנושי יצטרך לעשות דבר. בתנאים הנכונים — רשת ארגונית גדולה, מחשבים לא מעודכנים — זה מה שהופך פריצה למגיפה.

חזרה למשל הבניין: מנעול “תולעתי” הוא מנעול שבור שלא רק מאפשר כניסה לדירה שלכם — אלא גם מעתיק את עצמו אוטומטית לכל שאר הדלתות בבניין. כך בדיוק פועלת חולשה תולעתית.

שתי חולשות קריטיות נוספות ראויות לאזכור: CVE-2026-47291 ב-HTTP.sys (רכיב ליבה של שרתי Windows), ו-CVE-2026-44815 ב-DHCP Client — חולשה שפוגעת בכל גרסאות מערכת ההפעלה. החולשה החמורה ביותר מבחינת ציון CVSS (10.0) היא CVE-2026-48567 בשירות Azure HorizonDB — אך זו כבר תוקנה על ידי מיקרוסופט בצד השרת מבלי שמשתמשים צריכים לעשות דבר.

הזווית החדשה: כשבינה מלאכותית מגלה ומתקנת חולשות

מה שהפך את יוני 2026 לנושא שיחה לא רק בגלל המספרים אלא גם בגלל ה”איך”: אנליסטים בתעשייה שאלו בפומבי כמה מה-208 תיקונים נכתבו בעזרת AI. לפחות אחד מהם — בדיוק CVE-2026-47291 ב-HTTP.sys — הוזכר בהקשר של גילוי באמצעות כלי AI.

ולא רק מיקרוסופט: אותו שבוע פרסמה סטארטאפ אבטחה שגילתה 21 חולשות חדשות ב-FFmpeg — כולן יחד, על ידי סוכן AI אוטונומי שסרק את הקוד ללא התערבות אנושית. גם Google פרסמה גרסת Chrome 149 עם 429 תיקוני באגים — שיא משלה.

המשמעות: AI מאיץ את שני צדדי המשוואה. מצד אחד, חוקרי אבטחה (ולפעמים גם תוקפים) יכולים למצוא חולשות מהר יותר מאי פעם. מצד שני, גם הפקת התיקונים מואצת. הפער — הזמן שבין גילוי חולשה לפריסת תיקון בשטח — הופך לקרב הזמנים החדש של אבטחת המידע. ארגונים שמאחרים בהתקנת עדכונים מוצאים את עצמם חשופים לתוקפים שכבר קיבלו את כלי ה-AI שמחפשים בדיוק את אותה חולשה.

מה לעשות עכשיו

הפעילו עדכונים אוטומטיים. זה הצעד הפשוט ביותר עם האפקט הגדול ביותר. ב-Windows: הגדרות ← Windows Update ← הפעלה אוטומטית. עשו זאת עכשיו אם לא עשיתם עדיין.

תעדפו CVEs מנוצלים. אם אתם מנהלי IT: CVE-2026-41091 כבר בניצול פעיל — זה לא חודש לדחות. חולשות עם ציון CVSS 9.8+ ב-Kernel וב-HTTP.sys מחייבות פריסת עדכון השבוע, לא ב”עדכון הגדול הבא”.

אל תשכחו את צד השרת. חולשות כמו CVE-2026-44815 ב-DHCP Client פוגעות בכל גרסאות Windows. בדקו שגם שרתים, מכונות וירטואליות, ומחשבים ישנים ברשת קיבלו עדכון.

עקבו אחרי מקורות אמינים. Zero Day Initiative ו-N-able (קישורים למטה) מפרסמים ניתוח מפורט של כל Patch Tuesday. אם אתם אחראים על אבטחה בארגון, הצטרפו לרשימות התפוצה שלהם.

Patch Tuesday הוא לא אירוע שמתרחש “בחוץ” — הוא מתרחש על כל מחשב Windows שלא עודכן עדיין. החודש הזה, עם שיא של חולשות ועם חולשה תולעתית שמחכה ברשת, ההבדל בין מחשב מעודכן למחשב שאינו מעודכן עשוי להיות קריטי.


מקורות: Zero Day Initiative | N-able

תגובות