Microsoft Rilis 200+ Patch Sekaligus, 3 Zero-Day yang Satunya Ditemukan AI Codex

CLB.my.id - Microsoft memecahkan rekor bulanan Patch Tuesday pada Juni 2026 dengan merilis hampir 200 perbaikan keamanan sekaligus. Dari jumlah tersebut, 32 di antaranya mendapat rating “critical” dan setidaknya tiga kelemahan sudah memiliki kode eksploit yang tersedia publik. Yang menarik, salah satu celah zero-day ditemukan oleh OpenAI Codex, sebuah alat coding berbasis kecerdasan bukan manusia.

Ini adalah Patch Tuesday terbesar dalam sejarah Microsoft. Menurut laporan Krebs on Security yang dikutip dari data resmi Microsoft Security Update Guide, volume patch bulan ini jauh melampaui rata-rata bulanan biasa. Adam Barnett dari Rapid7 mencatat bahwa Microsoft juga telah memperbaiki 360 kerentanan browser bulan ini, sebuah lonjakan yang sangat signifikan dibandingkan bulan-bulan sebelumnya.

Tiga Zero-Day yang Sudah Aktif Dieksploitasi

Tiga celah zero-day yang sudah dieksploitasi secara aktif adalah CVE-2026-49160, CVE-2026-45586, dan CVE-2026-50507. Masing-masing memiliki tingkat risiko dan latar belakang yang berbeda.

CVE-2026-49160 adalah kerentanan denial-of-service yang memengaruhi berbagai server web, termasuk Microsoft Internet Information Services (IIS). Yang membuat celah ini istimewa adalah penemunya: OpenAI Codex, sebuah model AI yang dirancang untuk membantu developer menulis kode. Ini menandai salah satu kali pertama alat AI berkontribusi langsung dalam menemukan kerentanan keamanan yang masuk kategori zero-day.

CVE-2026-45586 adalah celah elevation-of-privilege di Windows Collaborative Translation Framework. Celah ini terkait dengan eksploit bernama “GreenPlasma” yang dirilis oleh seorang peneliti keamanan misterius dengan nama samaran “Nightmare Eclipse.”

CVE-2026-50507 adalah bug elevation-of-privilege di BitLocker, fitur enkripsi disk bawaan Windows. Eksploit “YellowKey” yang menargetkan celah ini juga berasal dari Nightmare Eclipse. Peneliti ini mengklaim sebagai mantan karyawan Microsoft, meskipun Microsoft belum mengonfirmasi hal tersebut.

Kontroversi Peneliti dan Ancaman yang Lebih Besar

Kasus Nightmare Eclipse memicu perdebatan di komunitas keamanan siber. Microsoft sempat mempertimbangkan tindakan hukum terhadap peneliti yang merilis eksploit secara publik. Perusahaan kemudian mengklarifikasi bahwa mereka akan melaporkan peneliti ke pihak berwenang jika terbukti melanggar hukum.

Yang lebih mengkhawatirkan, Nightmare Eclipse berjanji akan merilis “bone shattering” drop eksploit zero-day pada 14 Juli mendatang, bertepatan dengan Patch Tuesday berikutnya. Segera setelah patch Juni dirilis, peneliti ini langsung mempublikasikan eksploit untuk klaim zero-day baru di Windows Defender.

Catatan menarik, advisory untuk CVE-2026-49160 dan CVE-2026-50507 tidak mencantumkan nama peneliti. Microsoft hanya mencantumkan “coordinated vulnerability disclosure” tanpa atribusi spesifik.

Visual Studio Code dan Celah Pengambilalihan GitHub Token

Selain tiga zero-day utama, Microsoft juga menambal celah kritis di Visual Studio Code yang memungkinkan peretas mencuri token GitHub dengan satu kali klik. Microsoft terpaksa merilis perbaikan darurat pada 3 Juni setelah seorang peneliti mempublikasikan instruksi eksploitasi.

Peneliti tersebut mengaku memilih tidak bekerja sama dengan Microsoft karena pengalaman sebelumnya di mana Microsoft diam-diam memperbaiki celah yang ia laporkan tanpa memberikan kredit atau pengakuan. Insiden ini menambah daftar panjang ketegangan antara Microsoft dan komunitas peneliti keamanan independen.

Dampak AI dalam Penemuan Kerentanan

Volume patch yang terus meningkat tidak lepas dari makin banyaknya penggunaan alat AI dalam berburu bug. Satnam Narang dari Tenable menyatakan bahwa beberapa survei menempatkan penggunaan AI di kalangan profesional keamanan pada angka 90 persen.

“Pandora’s proverbial box has been opened,” ujar Narang, mengisyaratkan bahwa lonjakan volume patch kemungkinan akan menjadi norma baru. Dengan AI yang bisa menemukan kerentanan lebih cepat dari manusia, produsen software dituntut untuk merespons dengan kecepatan yang sama.

Keamanan Internal Microsoft Juga Terguncang

Di tengah rilis patch eksternal, Microsoft juga menghadapi insiden keamanan internal. Sebanyak 72 repositori publik kode Microsoft terinfeksi varian cacing “Shai-Hulud” yang berasal dari Azure Durable Task SDK. Infeksi yang sama juga menyerang SDK tersebut pada Mei lalu.

Update dari Vendor Lain

Bukan hanya Microsoft yang merilis update besar-besaran. Adobe merilis perbaikan untuk kerentanan kritis di Adobe Experience Manager, Acrobat Reader, dan ColdFusion. Google pada 3 Juni memperbaiki 429 kerentanan dalam update Chrome terbaru. Update Chrome memang terunduh secara otomatis, tetapi tetap memerlukan restart browser untuk dipasang.

Apa yang Harus Dilakukan Pengguna

Dengan lebih dari 200 celah keamanan yang ditambal sekaligus, pengguna Windows dan produk Microsoft lainnya disarankan untuk segera memperbarui sistem mereka. Pastikan untuk mencadangkan data penting sebelum menjalankan update sistem operasi. Perusahaan yang menggunakan Visual Studio Code dan BitLocker perlu memprioritaskan patch ini mengingat kedua produk tersebut masuk dalam daftar zero-day aktif.