Femhundrasjuttio rättningar på en enda tisdag

Microsoft Security Response Center publicerade sin julirättning tisdagen den 14 juli, och listan tog inte slut där någon hade väntat sig. Microsoft täppte till 570 sårbarheter i en enda leverans. Det tidigare rekordet, satt sex veckor tidigare i juni, låg på 206. Femtionio av julihålen är klassade som kritiska, och 48 av dem tillåter körning av kod på distans. Den fullständiga fördelningen landar på 254 hål för behörighetshöjning, 145 för körning av kod på distans, 102 för röjande av uppgifter, 35 för överbelastning, 17 förbigångar av säkerhetsfunktioner och 16 spoofningshål. Summan räknar inte in de Chromium-hål som Edge ärver.

Varför det räknas. Ett månatligt fönster för rättningar är en fast mängd arbetstimmar. Antalet poster som ska pressas igenom det har nästan tredubblats, och leverantören har skrivit svart på vitt att detta inte är en tillfällig topp. Varje process som utgår från att en administratör hinner läsa listan, väga varje post och besluta gick sönder i tisdags.

Två används redan mot ADFS och SharePoint

Tre av de 570 är nolldagshål, och två av dem är under aktivt angrepp. CVE-2026-56155 är ett hål för behörighetshöjning i Active Directory Federation Services, där en åtkomstkontroll som inte är tillräckligt finkornig låter en behörig angripare höja sina rättigheter lokalt. CVE-2026-56164 är ett hål för behörighetshöjning i SharePoint Server, där en saknad autentiseringskontroll på en kritisk funktion låter en oautentiserad angripare höja rättigheter över nätverket. Det tredje, CVE-2026-50661, är en offentliggjord förbigång av BitLockers säkerhetsfunktion.

Inget av de två utnyttjade hålen är exotiskt, och det är just poängen. Active Directory Federation Services är maskinen som utfärdar era federationsbiljetter. I SharePoint ligger era avtal, era styrelsehandlingar och era kundlistor. Den som höjer sina rättigheter på något av dem behöver ingen andra sårbarhet för att nå resten. Driver ni något av dem i egen regi är det de enda två posterna på julilistan som kräver ett beslut i dag. Sedan den 1 juli 2026 ligger CERT-SE och Sveriges kontaktpunkt för NIS2 hos det nya Nationellt cybersäkerhetscenter, som brukar gå ut med egen varning vid hål av det här slaget.

BitLocker-förbigången angriper ett rättsligt försvar, inte en bärbar dator

CVE-2026-50661 låter en angripare med fysisk åtkomst nå uppgifter på en krypterad volym. Läst som ett tekniskt problem är det ett fel i enheten som kräver maskinen i handen. Läst som ett europeiskt efterlevnadsproblem är det något annat. Artikel 34 i dataskyddsförordningen säger att en personuppgiftsansvarig inte behöver underrätta de registrerade när de röjda uppgifterna har gjorts oläsbara för obehöriga, och fullständig diskkryptering är skälet till att de flesta borttappade eller stulna bärbara datorer aldrig blir en anmälningspliktig händelse.

Följden. Det resonemanget håller så länge krypteringen håller. En publicerad förbigång gör det angripbart, och argumentet bär nu ett CVE-nummer som vilken tillsynsmyndighet som helst kan slå upp. Fristen på 72 timmar i artikel 33 pausar inte medan ni bestämmer er hållning. Den som för fram BitLocker som sitt svar på en förlorad enhet bör ha den här rättningen på maskinparken innan nästa dator försvinner, och bör kunna visa datumet.

Microsoft kallar floden den nya utgångspunkten

Hoppet beror inte på en dålig månad med kod. Den 9 juli, fem dagar före leveransen, publicerade Microsoft ett inlägg på Windows Experience Blog där bolaget förklarar att det kört ett AI-system som heter MDASH, dess skanningsrigg med flera modeller, över hela Windows kodbas. MDASH går igenom kritiska binärfiler och validerar sina fynd med flera modeller. Den första offentliga skörden, i maj, blev 16 tidigare okända CVE:er, fyra av dem kritiska hål för körning av kod på distans i kärnkomponenter som TCP/IP-kärnstacken, IKEv2-tjänsten, Netlogon och DNS-API-biblioteket. Microsoft sade rakt ut till kunderna att de ska vänta sig en högre mängd säkerhetsuppdateringar i varje leverans.

Det stannar inte vid en leverantör. Chrome 150 kom med 433 säkerhetsrättningar. Adobe har gått över till två leveranser i månaden och Mozilla till en takt på två veckor. Branschen har satt sökandet efter sina egna fel på maskin och håller takten när de ska levereras till er. Er förmåga att ta emot dem har inte flyttat sig en tum.

Byt måttet innan ni byter tidplanen

Reflexen är att begära fler timmar för rättningar. Det är fel spak, eftersom inflödet inte längre har något tak. Det som fungerar är att sluta behandla CVE-listan som en kö att beta av och börja behandla den som en signal att filtrera. Två filter gör nästan hela jobbet: utnyttjas hålet, och går det drabbade systemet att nå utifrån. Tre av de 570 hålen klarade det första filtret den här månaden. Det är en lista som en människa faktiskt orkar läsa.

Slutsatsen. Styrelsens mått måste följa med. En täckningsgrad för rättningar mäter numera Microsofts skanner och inte ert försvar, och den kommer att se sämre ut varje månad samtidigt som den betyder mindre. Rapportera i stället hur lång tid det tog att rätta de utnyttjade hålen och de som går att nå från internet. Den siffran är er, den är liten nog att försvara, och den är den enda en angripare bryr sig om.