Microsoft paikkasi lähes 200 aukkoa kerralla — tärkein teko sinulle on yksi nappi
Ennätyssuuri paikkatiistai kuulostaa pelottavalta, mutta mikään aukoista ei ole aktiivisen hyökkäyksen kohteena. Osa hyödyntämiskoodista on silti jo julkista, joten päivitys kannattaa asentaa pian.
Tiivistelma
Microsoft julkaisi 10.6.2026 kaikkien aikojen suurimman paikkatiistain ja korjasi noin 200 haavoittuvuutta, joista 33 on luokiteltu kriittisiksi. Kolme aukoista oli julkisesti paljastettu ennen paikkausta, mutta aktiivisia hyökkäyksiä ei ole raportoitu. Tekoälyavusteinen aukkojen etsintä ajaa nyt ennätysmääriä.
Kesäkuun paikkatiistai rikkoi ennätyksen. Microsoft korjasi 10.6.2026 yhdellä kertaa lähes 200 haavoittuvuutta Windowsista ja muista tuotteistaan. Tietoturvayhtiö Tenable laskee tarkaksi luvuksi 198, ja edellinen ennätys oli 167.
Lukema kuulostaa hälyttävältä. Lukijan kannalta tärkein viesti on kuitenkin yksinkertainen ja toiminnallinen: varmista, että Windows päivittyy automaattisesti, ja käynnistä kone uudelleen.
Kriittiseksi aukoista luokiteltiin 33. Niistä 28 mahdollistaisi etäkoodin suorituksen, neljä oikeuksien laajentamisen ja yksi tietovuodon. Erikseen paikattiin yli 360 selainhaavoittuvuutta Chromessa ja Edgessä, eivätkä nekään sisälly viralliseen kokonaislukuun.
Kolme aukkoa oli paljastettu — mutta ei hyökätty
Tässä kohdassa erottelu on tehtävä huolella. Kolme korjatuista aukoista oli niin sanottuja nollapäivähaavoittuvuuksia, eli niiden tekniset tiedot olivat julkisia ennen kuin paikka oli saatavilla. Microsoft tai tietoturvayhtiöt eivät ole raportoineet yhtäkään tunnettua hyökkäystä, jossa näitä olisi käytetty.
Eli tilanne ei ole "hyökkäysten kohteena", vaan "hyödyntämiskoodi julkista, hyökkäyksiä ei vielä".
Ensimmäinen kantaa nimeä CVE-2026-50507, lempinimeltään "YellowKey". Se ohittaa Windowsin BitLocker-levysuojauksen, mutta vaatii fyysisen pääsyn laitteeseen. Toinen, CVE-2026-49160 eli "HTTP/2 Bomb", on palvelunestohaavoittuvuus IIS-palvelimissa.
Kolmas, CVE-2026-45586 ("GreenPlasma"), antaa hyökkääjälle SYSTEM-oikeudet Windowsin käännöskehyksen kautta.
Tekoäly löytää aukkoja kiihtyvää tahtia
Mistä ennätysmäärä sitten johtuu? Yksi selitys on tekoäly. OpenAI:n Codex-työkalu löysi palvelunestoaukon CVE-2026-49160, ja tekoälyavusteinen aukkojen etsintä ajaa nyt korjattavien lukemia ylöspäin laajemminkin.
Trendi on todistettu, mutta sitä kannattaa lukea maltilla. Kyse ei oikeastaan ole siitä, että ohjelmistot olisivat yhtäkkiä rikkinäisempiä, vaan että koneet löytävät vanhoja vikoja nopeammin kuin ihmiset.
Sama työkalu palvelee tietenkin myös hyökkääjiä. Siksi paikkojen asentaminen ajallaan on nyt tärkeämpää kuin ennen — aukon julkistamisen ja sen väärinkäytön välinen aika lyhenee koko ajan.
Kuluttajalle riski on pieni
Mitä tästä seuraa tavalliselle kotikoneen käyttäjälle? Valtaosa 200 aukosta koskee yritys- ja palvelinympäristöjä, joten suora vaara on ihan rajallinen.
BitLocker-ohitukset koskevat lähinnä kadonnutta tai varastettua kannettavaa, koska ne vaativat fyysisen pääsyn laitteeseen. Käytännössä kotioloissa kone on jo valmiiksi käyttäjän hallussa.
Selvin klikkausriski koskee kehittäjiä. Visual Studio Code -editorin haavoittuvuus voi varastaa GitHub-tokenit yhdellä klikkauksella. Tällainen token on kuin avain koko koodivarastoon.
Kotimainen viranomainen ei ole kommentoinut juuri tätä paikkatiistaita. Kyberturvallisuuskeskus varoittaa parhaillaan Secure Boot -varmenteiden vanhenemisesta kesästä 2026 alkaen ja kehottaa johdonmukaisesti pitämään sekä Windowsin että BIOSin ajan tasalla.
– Pidä käyttöjärjestelmä ja sovellukset päivitettyinä, sillä päivitykset korjaavat tunnettuja haavoittuvuuksia, keskus toteaa yleisohjeessaan.
Mitä tehdä
- Tarkista, että Windows Update on päällä automaattisena. Asenna saatavilla olevat päivitykset nyt ja käynnistä kone uudelleen — moni korjaus tulee voimaan vasta uudelleenkäynnistyksen jälkeen.
- Paniikkiin ei ole syytä, koska mikään aukko ei ole aktiivisen hyökkäyksen kohteena. Koska osa hyödyntämiskoodista on jo julkista, paikkaa silti pian.
- Päivitä myös selaimesi. Avaa Edgen tai Chromen asetuksista "Tietoja" ja anna selaimen hakea uusin versio.
- Kehittäjät: päivittäkää Visual Studio Code ja tarkistakaa GitHub-tunnustenne käyttölokit.
- BitLocker-ohitukset koskevat varastettuja laitteita. Pidä siis huolta myös koneesi fyysisestä turvasta — salasanasuojaus ei auta, jos laite katoaa väärään käsiin.
Ennätyksiä rikkova paikkatiistai on uutinen, mutta se ei muuta perussääntöä. Päivitetty kone on turvallinen kone. Jää nähtäväksi, kuinka pitkään edes 200 aukon ennätys kestää, kun tekoäly seuloo koodia tätä artikkelia kirjoitettaessa kovempaa kuin koskaan.