마이크로소프트, 2026년 6월 패치 화요일에 제로데이 3건·200개 결함 수정
오늘은 Microsoft의 2026년 6월 Patch Tuesday이며, 200개의 결함과 3개의 공개된 제로데이 취약점에 대한 보안 업데이트가 제공됩니다.
이번 Patch Tuesday에서는 33개의 “치명적(Critical)” 취약점이 해결되었습니다. 이 중 28건은 원격 코드 실행, 4건은 권한 상승, 1건은 정보 노출 결함입니다.
BleepingComputer가 Patch Tuesday 보안 업데이트를 보도할 때는 오늘 Microsoft가 배포한 업데이트만을 집계합니다.
따라서 이번에 발표된 결함 수에는 이번 달 초 Microsoft가 이미 수정한 Mariner, Azure HorizonDB, Microsoft Copilot, Copilot Chat, M365 Copilot, Microsoft Exchange Online, Microsoft Graph 등의 결함은 포함되지 않았습니다.
또한 이번 달 Google이 수정한 360개의 Microsoft Edge/Chromium 결함은 이번 Patch Tuesday 요약에서 제외되었습니다.
이번 달 Patch Tuesday에서는 3개의 공개된 제로데이 취약점이 해결되었으며, 이들 중 어느 것도 공격에 이용된 것으로 알려지지 않았습니다.
Microsoft는 제로데이 취약점을 “공개된 상태이거나 공식적인 패치가 제공되지 않은 상태에서 악용되고 있는 경우”로 정의합니다(Microsoft 문서).
Microsoft는 SYSTEM 권한을 부여하는 공개된 Windows CTFMON 취약점을 패치했습니다.
“Windows 협업 번역 프레임워크(Windows Collaborative Translation Framework)에서 파일 접근 전에 링크를 잘못 해석(‘링크 팔로잉’)하는 문제가 있어, 권한이 있는 공격자가 로컬에서 권한을 상승시킬 수 있습니다.”라고 Microsoft는 설명합니다.
Microsoft는 이 결함을 익명 연구원에게 귀속했으며, 어떻게 공개되었는지에 대한 자세한 내용은 공개하지 않았습니다.
Microsoft는 이번 달 공격 보안 업체 Calif. 연구원들이 공개한 “HTTP/2 Bomb”이라 명명된 HTTP/2 서비스 거부(DoS) 취약점을 패치했습니다.
“HTTP/2에서 자원을 통제되지 않게 소모함으로써, 인증되지 않은 공격자가 네트워크 상에서 서비스를 거부할 수 있습니다.”라고 Microsoft는 설명합니다.
HTTP/2 Bomb 공격은 HTTP/2 프로토콜이 헤더를 압축하고 관리하는 방식을 악용해, 아주 적은 양의 데이터를 전송함으로써 서버가 과도한 메모리를 할당하도록 만드는 서비스 거부 기법입니다.
연구진은 이 공격이 영향을 받는 서버의 메모리 사용량을 급격히 증가시킬 수 있음을 발견했습니다. 공격자는 흐름 제어 설정을 조작해 메모리를 해제하지 못하게 유지함으로써 서버 성능 저하 또는 중단을 초래할 수 있습니다.
이 공격을 완화하기 위해 Microsoft는 요청에 포함될 수 있는 헤더 수를 제한하는 새로운 레지스트리 값 MaxHeadersCount를 도입했으며, 사용 방법에 대한 지원 게시물을 제공했습니다.
“Microsoft는 또한 새로운 MaxHeadersCount 레지스트리 설정을 도입했습니다. 이 설정을 통해 HTTP/2 및 HTTP/3 요청에 포함될 수 있는 헤더 수를 제한할 수 있습니다. 자세한 내용은 KB5102602를 참고하십시오.”라고 Microsoft는 덧붙였습니다.
이 결함은 Calif.io의 Quang Luong과 Codex에게 귀속되었습니다.
Microsoft는 공개된 Windows BitLocker 우회 취약점을 패치했으며, 이를 통해 로컬 공격자가 암호화된 드라이브에 접근할 수 있었습니다.
“Windows BitLocker의 보호 메커니즘이 실패하면, 물리적 공격을 통해 인증되지 않은 공격자가 보안 기능을 우회할 수 있습니다.”라고 Microsoft는 설명합니다.
Microsoft는 이 결함을 익명 연구원에게 귀속했지만, BleepingComputer는 이것이 지난 달 사이버 보안 연구원 Nightmare Eclipse가 공개한 YellowKey 취약점(관련 기사)에 대한 패치임을 확인했습니다.
YellowKey 취약점은 특수하게 조작된 파일을 USB 드라이브 또는 EFI 파티션에 놓고 Windows 복구 환경(WinRE)으로 부팅한 뒤, CTRL 키를 누르고 있으면 암호화된 BitLocker 드라이브에 무제한 접근이 가능한 명령 셸이 실행되는 방식으로 악용될 수 있었습니다.
이 결함은 주로 Windows 11 및 Windows Server 2022/2025에서 TPM 전용 BitLocker 보호를 사용하던 시스템에 영향을 미칩니다. Microsoft는 이전에 TPM + PIN 인증을 활성화하도록 하는 임시 완화책을 제공한 바 있습니다.
Nightmare Eclipse는 Microsoft의 버그 현상금 및 취약점 공개 프로그램 운영 방식에 항의하며, BlueHammer, MiniPlasma, RedSun, UnDefend 등 여러 Windows 제로데이 취약점을 연속 공개했습니다.
아래는 오늘 이전에 수정된 결함을 제외하고, 2026년 5월 Patch Tuesday 업데이트에 포함된 전체 취약점 목록입니다.
각 취약점에 대한 상세 설명과 영향을 받는 시스템을 확인하려면 전체 보고서를 참고하십시오.
| 태그 | CVE ID | CVE 제목 | 심각도 |
|---|---|---|---|
| .NET | CVE-2026-45491 | .NET 변조 취약점 | 중요 |
| .NET | CVE-2026-45490 | .NET SDK 권한 상승 취약점 | 중요 |
| Active Directory Domain Services | CVE-2026-45648 | Windows Active Directory Domain Services 원격 코드 실행 취약점 | 치명적 |
| ASP.NET Core | CVE-2026-45591 | ASP.NET Core 서비스 거부 취약점 | 중요 |
| Azure Stack Edge | CVE-2026-47643 | Azure Stack Edge 원격 코드 실행 취약점 | 중요 |
| Azure Stack Edge | CVE-2026-41098 | Azure Stack Edge 스푸핑 취약점 | 중요 |
| Function Discovery Service (fdwsd.dll) | CVE-2026-42836 | Windows Function Discovery Service (fdwsd.dll) 권한 상승 취약점 | 중요 |
| GitHub Copilot and Visual Studio Code | CVE-2026-45482 | Microsoft Visual Studio Code CoPilot Chat 확장 보안 기능 우회 취약점 | 중요 |
| HTTP/2 | CVE-2026-49160 | HTTP.sys 서비스 거부 취약점 | 중요 |
| Linux MANA Driver | CVE-2026-45476 | Microsoft Azure Network Adapter 권한 상승 취약점 | 치명적 |
| Microsoft Azure Attestation service and Device Health Attestation Service | CVE-2026-45642 | Microsoft Azure Attestation 서비스 및 Device Health Attestation 서비스 스푸핑 취약점 | 중요 |
| Microsoft Azure Attestation service and Device Health Attestation Service | [CVE-2026-33828](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-338 |