Πολύς ο λόγος και ο ντόρος για τα θέματα ασφαλείας που, με την συνδρομή της ΤΝ, δόθηκαν πρόσφατα στη δημοσιότητα. Σαφώς και ορισμένες ήταν πρωτόγνωρες (Copy Fail”, “Dirty Frag”, “Fragnesia”) ωστόσο, επί της ουσίας, για αυτό που λέμε «μέσο χρήστη» δεν ήταν υποχρεωτικό ότι θα έπρεπε να τον απασχολήσουν άμεσα καθώς για να κινδυνέψει το σύστημά του θα έπρεπε να συντρέξουν συγχρόνως διάφορες συγκυρίες.
Το πρόβλημα όμως, είναι ότι με την έμφαση που δόθηκε στο θέμα ο καθένας όχι ειδικός ή έμπειρος δημιούργησε εσφαλμένες εντυπώσεις.
Ας δούμε λοιπόν τι συνέβη από την αρχή του έτους μέχρι τώρα (Ιούνιος 2026) με τα θέματα ασφαλείας, που δόθηκαν στη δημοσιότητα, για τα τρία πιο δημοφιλή Λειτουργικά Συστήματα.
Είναι αδύνατο για τα Windows να αναφερθούν όλα επειδή, ειδικά αυτά, έχουν δεκάδες έως εκατοντάδες CVEs κάθε μήνα.
Windows (Ιανουάριος–Ιούνιος 2026)
Φεβρουάριος 2026
Η Microsoft διόρθωσε 59 ευπάθειες, από τις οποίες 6 ήταν ήδη υπό ενεργή εκμετάλλευση («zero-days in the wild»). Οι ευπάθειες περιλάμβαναν:
- Elevation of Privilege (απόκτηση δικαιωμάτων SYSTEM)
- Remote Code Execution (RCE)
- Security Feature Bypass
- Information Disclosure
Μάρτιος 2026
Διορθώθηκαν 82–84 CVEs, με:
- 8 Critical vulnerabilities
- 2 δημοσίως γνωστές πριν την κυκλοφορία των patches
- προβλήματα σε Windows Kernel, Hyper-V, ReFS και Office components.
Απρίλιος 2026
Ένας από τους μεγαλύτερους μήνες των τελευταίων ετών:
- 163–167 διορθωμένες ευπάθειες
- 2 zero-days
- τουλάχιστον μία ευπάθεια υπό ενεργή εκμετάλλευση
- σοβαρό zero-day στο SharePoint Server
- δημοσίως γνωστή ευπάθεια στο Windows Defender (“BlueHammer”).
Μάιος 2026
Η Microsoft διόρθωσε:
- 118–130 CVEs
- 16–30 Critical vulnerabilities
- μεγάλο αριθμό ευπαθειών RCE και privilege escalation.
Ιούνιος 2026
Ρεκόρ διορθώσεων:
- περίπου 200 ευπάθειες
- 33 Critical
- 3 δημοσίως γνωστά zero-days
- 65 privilege escalation flaws
- 55 remote code execution flaws.
- Σημαντικές μεμονωμένες ευπάθειες Windows
- CVE-2026-50656 (“RoguePlanet”)
- Επηρεάζει το Microsoft Defender.
- Επιτρέπει απόκτηση SYSTEM privileges.
- Δημοσιεύτηκε proof-of-concept exploit.
Η Microsoft επιβεβαίωσε το πρόβλημα και εργάζεται σε patch.
- CVE-2026-45585 (“YellowKey”)
- Παράκαμψη προστασιών του BitLocker.
Δημοσιοποιήθηκε proof-of-concept.
- CVE-2026-45586 (“GreenPlasma”)
- Privilege escalation στο Collaborative Translation Framework.
Υψηλής σοβαρότητας.
macOS / OS X (Ιανουάριος–Ιούνιος 2026)
Φεβρουάριος 2026
- CVE-2026-20700
Η Apple επιδιόρθωσε κρίσιμη ευπάθεια η οποία χρησιμοποιούνταν σε στοχευμένες επιθέσεις, επηρέαζε macOS και άλλα λειτουργικά της Apple και μπορούσε να οδηγήσει σε αυξημένα δικαιώματα ή εκτέλεση κακόβουλου κώδικα.
Μάρτιος 2026 – macOS Tahoe 26.4
Η Apple διόρθωσε μεγάλο αριθμό ευπαθειών που περιλάμβαναν:
- CVE-2026-20688
- Πρόβλημα χειρισμού διαδρομών (path validation).
- Δυνατότητα παράκαμψης περιορισμών ασφαλείας.
- CVE-2026-20669
- Σφάλμα parsing σε directory paths.
Διορθώθηκε με αυστηρότερο validation
- CVE-2026-28834
Εφαρμογή μπορούσε να προκαλέσει απροσδόκητο τερματισμό του συστήματος (DoS).
Επιπλέον, η Apple διόρθωσε πολυάριθμες ευπάθειες που μπορούσαν να οδηγήσουν σε:
- Elevation of Privilege
- Information Disclosure
- Security Restriction Bypass
- Cross-Site Scripting
- Data Manipulation
- Denial of Service.
Μάιος–Ιούνιος 2026
Το macOS Tahoe 26.5 έκλεισε περίπου 80 ευπάθειες, μεταξύ των οποίων:
- arbitrary code execution
- root privilege escalation
- WebKit vulnerabilities
- kernel-level flaws.
https://www.techrepublic.com/article/news-apple-security-roundup-june-2026
Για του Linux δεν υπάρχει λόγος να τα αναφέρω ξανά, μπορείτε να τα δείτε συγκεντρωτικά εδώ:
Για να γίνει ευκολότερα κατανοητό ακολουθεί ένας συνοπτικός πίνακας υψηλής σοβαρότητας για τα σημαντικότερα περιστατικά ασφαλείας που δημοσιοποιήθηκαν ή διορθώθηκαν κατά το τελευταίο εξάμηνο (Ιαν–Ιούν 2026) σε Windows, macOS και Linux. Σημειωτέον ότι δεν περιλαμβάνει τα εκατοντάδες μικρότερα CVEs αλλά τα πιο αξιοσημείωτα περιστατικά και κατηγορίες ευπαθειών:
| Μήνας | Λειτουργικό | CVE / Όνομα | Κατηγορία | Επίπτωση |
|---|---|---|---|---|
| Φεβ 2026 | Windows | 6 ενεργά exploited zero-days | EoP, RCE | Απόκτηση SYSTEM, απομακρυσμένη εκτέλεση κώδικα (TechSpot) |
| Μάρ 2026 | Windows | 82+ CVEs | Kernel, Hyper-V, ReFS | Privilege Escalation, RCE |
| Απρ 2026 | Windows | SharePoint Zero-Day | RCE | Πλήρης συμβιβασμός SharePoint Server |
| Απρ 2026 | Windows | BlueHammer | Defender Bypass | Παράκαμψη προστασίας Defender |
| Μάι 2026 | Windows | 118–130 CVEs | RCE / EoP | Εκτέλεση κώδικα και αύξηση δικαιωμάτων |
| Ιουν 2026 | Windows | CVE-2026-45585 (“YellowKey”) | BitLocker Bypass | Πρόσβαση σε κρυπτογραφημένα δεδομένα (TechRadar) |
| Ιουν 2026 | Windows | CVE-2026-45586 (“GreenPlasma”) | Privilege Escalation | Ανάκτηση αυξημένων δικαιωμάτων (TechRadar) |
| Ιουν 2026 | Windows | CVE-2026-50656 (“RoguePlanet”) | Defender Zero-Day | SYSTEM privileges σε πλήρως patched συστήματα (TechRadar) |
| Ιουν 2026 | Windows | HTTP/2 Bomb | DoS | Κατάρρευση υπηρεσιών μέσω HTTP/2 (atworkstudio.it) |
| Ιουν 2026 | Windows | 200 συνολικά CVEs | 55 RCE, 65 EoP | Μεγαλύτερο Patch Tuesday στην ιστορία (TechSpot) |
| Φεβ 2026 | macOS | CVE-2026-20700 | Zero-Day | Στοχευμένες επιθέσεις σε συστήματα Apple |
| Μάρ 2026 | macOS | CVE-2026-20688 | Path Validation | Παράκαμψη περιορισμών ασφαλείας |
| Μάρ 2026 | macOS | CVE-2026-20669 | Path Parsing | Security Restriction Bypass |
| Μάρ 2026 | macOS | CVE-2026-28834 | DoS | Κατάρρευση συστήματος |
| Μάι 2026 | macOS | CVE-2026-28995 | Sandbox Escape | Έξοδος εφαρμογής από sandbox (Apple Support) |
| Μάι 2026 | macOS | CVE-2026-28925 | Kernel Memory Write | Εγγραφή στη μνήμη πυρήνα (Apple Support) |
| Μάι 2026 | macOS | CVE-2026-43661 | ImageIO Overflow | Corruption μνήμης μέσω εικόνας (Apple Support) |
| Μάι 2026 | macOS | CVE-2026-28923 | GPU Driver Sandbox Escape | Παράκαμψη sandbox (Apple Support) |
| Μάι 2026 | macOS | CVE-2026-28988 | Privacy Bypass | Πρόσβαση σε προστατευμένα δεδομένα χρήστη (Apple Support) |
| Μάι 2026 | macOS | ~80 διορθώσεις Tahoe 26.5 | Kernel/WebKit | RCE, Privilege Escalation, DoS (Apple Support) |
| Ιαν–Ιουν 2026 | Linux | Πολλαπλά Kernel CVEs | Drivers / Filesystems | Local Privilege Escalation (arXiv) |
| Ιαν–Ιουν 2026 | Linux | IOCTL Attack Surface Issues | Kernel Interface | Kernel Memory Access, EoP (arXiv) |
| Ιαν–Ιουν 2026 | Linux | Filesystem Bugs | ext4, btrfs, xfs | DoS και Memory Corruption |
| Ιαν–Ιουν 2026 | Linux | Network Stack Vulnerabilities | TCP/IP | RCE και DoS σε servers |
| Ιαν–Ιουν 2026 | Linux | eBPF Vulnerabilities | Kernel Subsystem | Container Escape, Root Access |
| Ιαν–Ιουν 2026 | Linux | KVM/Virtualization Bugs | Hypervisor | VM Escape |
| Ιαν–Ιουν 2026 | Linux | USB / Device Driver Bugs | Drivers | Local Root μέσω κακόβουλων συσκευών |
| Λειτουργικό | Εκτιμώμενες διορθωμένες ευπάθειες (6 μήνες) | Zero-Days | Κύριοι κίνδυνοι |
|---|---|---|---|
| Windows | >700 | 10+ | RCE, Defender bypass, BitLocker bypass, SYSTEM escalation (TechSpot) |
| macOS | ~100+ | Ναι | Sandbox escape, kernel flaws, WebKit, privacy bypass (Apple Support) |
| Linux | Εκατοντάδες ανά διανομή | Ναι | Kernel privilege escalation, eBPF, drivers, virtualization flaws (arXiv) |
| Μήνας | Windows | Σοβαρότητα | macOS | Σοβαρότητα | Linux | Σοβαρότητα |
|---|---|---|---|---|---|---|
| Ιαν 2026 | Kernel Privilege Escalation flaws | ★★★★☆ | WebKit & sandbox vulnerabilities | ★★★★☆ | Kernel LPE σε drivers και filesystems | ★★★★☆ |
| Φεβ 2026 | 6 ενεργά exploited zero-days (Patch Tuesday) | ★★★★★ | CVE-2026-20700 (targeted attacks) | ★★★★★ | eBPF privilege escalation vulnerabilities | ★★★★★ |
| Μαρ 2026 | Hyper-V / ReFS / Kernel RCE & EoP | ★★★★☆ | CVE-2026-20688 (Path Validation Bypass) | ★★★★☆ | Network stack vulnerabilities (TCP/IP) | ★★★★☆ |
| Απρ 2026 | SharePoint Server Zero-Day RCE | ★★★★★ | CVE-2026-20669 (Security Restriction Bypass) | ★★★★☆ | KVM virtualization flaws (VM Escape) | ★★★★★ |
| Μαι 2026 | 118+ CVEs με πολλαπλά RCE | ★★★★☆ | CVE-2026-28925 (Kernel Memory Write) | ★★★★★ | Filesystem memory corruption (ext4/btrfs/xfs) | ★★★★☆ |
| Ιουν 2026 | RoguePlanet, YellowKey, GreenPlasma, HTTP/2 Bomb | ★★★★★ | CVE-2026-28923 Sandbox Escape & WebKit flaws | ★★★★★ | USB/Driver privilege escalation flaws | ★★★★☆ |
| Λειτουργικό | Ευπάθεια | Τύπος | Σοβαρότητα |
|---|---|---|---|
| Windows | SharePoint Zero-Day RCE | Remote Code Execution | ★★★★★ |
| Windows | RoguePlanet | SYSTEM Privilege Escalation | ★★★★★ |
| Windows | YellowKey | BitLocker Bypass | ★★★★★ |
| macOS | CVE-2026-20700 | Active Zero-Day | ★★★★★ |
| macOS | CVE-2026-28925 | Kernel Memory Write | ★★★★★ |
| macOS | CVE-2026-28923 | Sandbox Escape | ★★★★★ |
| Linux | eBPF Privilege Escalation | Root Access | ★★★★★ |
| Linux | KVM VM Escape | Hypervisor Escape | ★★★★★ |
| Linux | Network Stack RCE | Remote Code Execution | ★★★★★ |
| Λειτουργικό | Αριθμός σοβαρών συμβάντων | Zero-Days | Μέση σοβαρότητα |
|---|---|---|---|
| Windows | Πολύ υψηλός (>700 CVEs συνολικά) | 10+ | ★★★★★ |
| macOS | Υψηλός (~100+ σημαντικές διορθώσεις) | Ναι | ★★★★☆ |
| Linux | Υψηλός (εκατοντάδες CVEs ανά διανομή) | Ναι | ★★★★☆ |
| Κατηγορία | Νικητής (χειρότερη εικόνα) |
|---|---|
| Περισσότερα Zero-Days | Windows ★★★★★ |
| Περισσότερα RCE | Windows ★★★★★ |
| Περισσότερα Kernel Bugs | Linux ★★★★★ |
| Περισσότερα Sandbox Escapes | macOS ★★★★★ |
| Μεγαλύτερη συνολική επιφάνεια επίθεσης | Windows ★★★★★ |
| Μεγαλύτερη έκθεση servers/cloud | Linux ★★★★★ |
| Μεγαλύτερη έκθεση desktop χρηστών | Windows ★★★★★ |
| Αν το βλέπαμε αντικειμενικά ή, μάλλον, με την οπτική ενός CISO ή security auditor, τότε η κατάταξη κινδύνου για το συγκεκριμένο εξάμηνο θα ήταν περίπου κάπως έτσι: |
Windows : ★★★★★ 9.5/10
Linux : ★★★★☆ 8.5/10
macOS : ★★★★☆ 7.5/10
Ναι, αλλά για το FreeBSD δεν λες τίποτα.
Σωστό και αυτό, αν και δεν έχει την δημοφιλία των ανωτέρω ΛΣ, ας δούμε τι συνέβη και εκεί:
| Μήνας | FreeBSD | Σοβαρότητα |
|---|---|---|
| Ιαν 2026 | Διορθώσεις σε network stack και kernel subsystems | ★★★☆☆ |
| Φεβ 2026 | Ευπάθειες σε jail/container isolation μηχανισμούς | ★★★★☆ |
| Μαρ 2026 | Kernel privilege escalation μέσω τοπικής πρόσβασης | ★★★★☆ |
| Απρ 2026 | TCP/IP stack bugs με πιθανότητα DoS | ★★★★☆ |
| Μαι 2026 | Memory corruption σε kernel drivers | ★★★★☆ |
| Ιουν 2026 | Πολλαπλές διορθώσεις ασφαλείας σε kernel και networking | ★★★★☆ |
Ας βάλουμε και αυτό (το FreeBSD) στο κάδρο:
| Μήνας | FreeBSD | Σοβαρότητα |
|---|---|---|
| Ιαν 2026 | Διορθώσεις σε network stack και kernel subsystems | ★★★☆☆ |
| Φεβ 2026 | Ευπάθειες σε jail/container isolation μηχανισμούς | ★★★★☆ |
| Μαρ 2026 | Kernel privilege escalation μέσω τοπικής πρόσβασης | ★★★★☆ |
| Απρ 2026 | TCP/IP stack bugs με πιθανότητα DoS | ★★★★☆ |
| Μαι 2026 | Memory corruption σε kernel drivers | ★★★★☆ |
| Ιουν 2026 | Πολλαπλές διορθώσεις ασφαλείας σε kernel και networking | ★★★★☆ |
| Λειτουργικό | Zero-Days | Kernel Bugs | RCE | Συνολικός Κίνδυνος |
|---|---|---|---|---|
| Windows | ★★★★★ | ★★★★★ | ★★★★★ | ★★★★★ |
| Linux | ★★★★☆ | ★★★★★ | ★★★★☆ | ★★★★☆ |
| macOS | ★★★★☆ | ★★★★☆ | ★★★★☆ | ★★★★☆ |
| FreeBSD | ★★☆☆☆ | ★★★★☆ | ★★★☆☆ | ★★★☆☆ |
Windows : ★★★★★ 9.5/10
Linux : ★★★★☆ 8.5/10
macOS : ★★★★☆ 7.5/10
FreeBSD : ★★★☆☆ 6.0/10
Θα πρέπει βέβαια, να ληφθεί υπόψιν ότι το FreeBSD δεν εμφανίζει συνήθως τόσα πολλά δημοσιοποιημένα CVEs όσο τα άλλα λειτουργικά, κυρίως λόγω της μικρότερης εγκατεστημένης βάσης, της μικρότερης επιφάνειας επίθεσης, των λιγότερων ενσωματωμένων υπηρεσιών και του πιο συντηρητικού κύκλου ανάπτυξης.
Αυτό όμως δεν σημαίνει ότι είναι «ασφαλές από τη φύση του». Άλλωστε, οι πιο σοβαρές ευπάθειες που εμφανίζονται στο FreeBSD αφορούν συνήθως kernel privilege escalation, network stack bugs, jail escapes, filesystem και driver memory corruption.
Άρα, για χρήση ως server στο πρώτο εξάμηνο του 2026, μια ενδεικτική κατάταξη ως προς τη συχνότητα σοβαρών δημοσιοποιημένων προβλημάτων θα ήταν:
- Windows ★★★★★
- Linux ★★★★☆
- macOS ★★★★☆
- FreeBSD ★★★☆☆
Και για να περάσουμε στην ουσία, το μεγαλύτερο πρόβλημα, το σημαντικότερο κενό ασφαλείας βρίσκεται πάντα ανάμεσα στην οθόνη και στην καρέκλα. Και αυτό είναι ο “Average Joe” (ο μέσος άνθρωπος/χρήστης).
Όσοι ασχολούνται με την ασφάλεια πληροφοριακών συστημάτων σίγουρα θα έχουν ακούσει/διαβάσει την παλιά ρήση:
The biggest security vulnerability is the user.
Έξαλλου όσον αφορά πραγματικά περιστατικά παραβιάσεων, πολύ συχνά η αλυσίδα επίθεσης δεν ξεκινά από κάποιο εξελιγμένο kernel exploit αλλά από κάτι του στυλ:
| Τι συνέβη | Χρειάστηκε zero-day; |
|---|---|
| Πάτησε phishing link | Όχι |
| Έδωσε κωδικό σε ψεύτικη σελίδα | Όχι |
| Άνοιξε μολυσμένο attachment | Όχι |
| Εγκατέστησε “cracked” πρόγραμμα | Όχι |
| Έτρεξε script από forum | Όχι |
| Χρησιμοποίησε ίδιο password παντού | Όχι |
| Απενεργοποίησε antivirus επειδή “ενοχλούσε” | Όχι |
Για αυτό σε πολλές εταιρείες, όπως και στο Δημόσιο πλέον, η κατάταξη κινδύνων είναι περίπου κάπως έτσι:
- Ανθρώπινο Σφάλμα / Κοινωνική Μηχανική
- Misconfiguration
- Unpatched Software
- Actual Software Vulnerabilities
Με απλά λόγια και εν συντομία ένα πλήρως ενημερωμένο σύστημα μπορεί να παραβιαστεί σε 30 δευτερόλεπτα αν ο χρήστης πληκτρολογήσει τον κωδικό του σε ψεύτικη σελίδα.
Κλείνοντας, να θυμίσω άλλο ένα ρητό που κυκλοφορεί χώρο της ασφάλειας:
There are only two types of users: those who have been phished and those who don’t know they’ve been phished.
Ναι, εντάξει, μπορεί να ακούγεται υπερβολικό αλλά υπογραμμίζει ότι οι επιθέσεις κοινωνικής μηχανικής παραμένουν πολύ πιο αποτελεσματικές από το να προσπαθήσει κάποιος να εκμεταλλευτεί ένα δύσκολο kernel zero-day.
Εν κατακλείδι λοιπόν, για τον μέσο χρήστη, ο μεγαλύτερος κίνδυνος συνήθως δεν είναι το λειτουργικό σύστημα αλλά οι δικές του ενέργειες. Ναι, Windows, macOS, Linux και FreeBSD έχουν όλες σοβαρές ευπάθειες κατά καιρούς αλλά η πιθανότητα όμως να πέσει κάποιος θύμα phishing ή κακόβουλου λογισμικού μέσω απροσεξίας είναι συνήθως πολύ μεγαλύτερη από την πιθανότητα να στοχευτεί από ένα προηγμένο zero-day exploit.
Να κάνετε τα updates του λειτουργικού σας συστήματος κούροι και κόρες και να μην πατάτε οποίο link σας έρχεται, να μην κατεβάζετε από μη επαληθευμένες πηγές και να μην βάζετε τον κωδικό σας όπου να’ ναι.
Α, ναι. Και να μην κάνετε login με τον Google λογαριασμό σας όσοι/όσοι έχετε (ή, όποιον άλλον).
Τους πινάκες τους έφτιαξα με τα στοιχεία που φόρτωσα σε τοπικό LLLM, ζητώντας του παράλληλα να επαληθεύσει τις πηγές της ερευνάς μου. Μου έκανε κάμποσες διορθώσεις συντακτικές και ορθογραφικές στο κείμενο και μάλιστα, μου επισήμανε άλλο ένα, προ ολίγων ημερών, θέμα ασφαλείας που αφορά το macOS και που δεν είναι η πρώτη φορά που αυτό εμφανίζεται. Αφορά ένα κενό του Safari στο οποίο εμφανίζεται ένα μήνυμα στον browser που αναφέρει, και καλά, πρόβλημα ασφαλείας στο ΛΣ παραπέμποντας σε κακόβουλη ιστοσελίδα (Κοινωνική Μηχανική + Average Joe κοινώς).