AI کے دور میں Patchday: رفتار بڑھ رہی ہے

Microsoft کا June Patch Tuesday شروع میں تقریباً ناقابل یقین لگا: 500 سے زیادہ CVEs، ایک record month، اور یہ فطری سوال کہ کیا بڑے AI models اب software پر چھوڑے جا رہے ہیں اور ہر جگہ vulnerability تلاش کر رہے ہیں۔

میرا پہلا ردعمل بھی یہی تھا۔ 500 صرف بڑا Patch Tuesday نہیں لگتا۔ یہ turning point جیسا لگتا ہے۔

Research کے بعد میری رائے زیادہ sober ہے، مگر زیادہ دلچسپ بھی: ہاں، June 2026 واقعی record month تھا۔ نہیں، 500 کا مطلب یہ نہیں کہ “Windows admins کو اس Tuesday 500 نئے Microsoft flaws patch کرنے تھے”۔ اور ہاں، AI اس نئے tempo کا حصہ بہت ممکن ہے۔ مگر اصل سوال یہ نہیں کہ عدد بالکل 500 ہے یا نہیں۔

اصل سوال ہے: جب vulnerability discovery مسلسل تیز ہو جائے تو IT operations کا کیا ہوتا ہے؟

June میں اصل میں کیا ہوا

9 June 2026 کو Microsoft نے غیر معمولی طور پر بڑا security update جاری کیا۔ source اور counting method کے مطابق Microsoft CVEs کی تعداد تقریباً 198 سے 209 کے درمیان تھی۔ Rapid7 نے 200، CrowdStrike نے 206، ZDI نے 208، اور Sophos نے 209 patches بتائے۔

یہ فرق methodological طور پر interesting ہیں، مگر اصل مسئلہ نہیں۔ تعداد 198 ہو، 200، 206 یا 209، practical معنی زیادہ نہیں بدلتے۔ narrow Microsoft count بھی بہت high تھا۔

Ivanti نے 198 Microsoft CVEs کو نیا record کہا اور بتایا کہ October 2025، 175 CVEs کے ساتھ، پچھلا high تھا۔ ZDI نے بھی لکھا کہ June ان کی tracking کے بعد سب سے بڑا Patch Tuesday month تھا۔

تو یہ inflated noise نہیں تھا۔ یہ real outlier تھا۔ اسی لیے اسے صرف counting debate نہیں بنانا چاہیے۔

زیادہ اہم trend یہ ہے: findings زیادہ ہیں، sources زیادہ ہیں، affected product lines زیادہ ہیں، browser updates زیادہ ہیں، اور third-party software بھی اسی وقت attention مانگ رہا ہے۔ Patch Tuesday ایک single event کم، continuous stream میں visible peak زیادہ بنتا جا رہا ہے۔

500 کے عدد کو پھر بھی explain کیوں کرنا چاہیے

500 irrelevant نہیں۔ یہ دکھاتا ہے کہ patch ecosystem کتنا بڑا ہو گیا ہے۔ مگر اسے explain کرنا ضروری ہے، ورنہ bad decisions بنتے ہیں۔

Sophos نے اسے صاف لکھا: 209 patches plus 388 advisories۔ ZDI نے Chromium اور third-party issues شامل کرکے 571 CVEs گنے۔ Ivanti نے بھی کہا کہ Chrome اور Edge نے Patch Tuesday week کے آس پاس 500 سے زیادہ CVEs address کیے۔

یہ dramatic ہے۔ مگر operationally اسے الگ کرنا پڑتا ہے۔

اس 500 کا بڑا حصہ Edge اور Chromium سے آتا ہے۔ Rapid7 نے لکھا کہ Microsoft نے June میں پہلے ہی 360 browser vulnerabilities address کر دی تھیں اور وہ actual Patch Tuesday count کا حصہ نہیں تھیں۔ Sophos نے بھی explain کیا کہ 388 advisories زیادہ تر Edge-related تھیں، اکثر Chrome سے آئیں، اور کئی Patch Tuesday سے پہلے ہی patched تھیں۔

Adobe updates بھی شامل تھے۔ ZDI اور Ivanti نے 11 updates میں 123 Adobe CVEs بتائے۔ Sophos نے بھی Adobe اور دوسرے advisory items کو اپنی Patch Tuesday view میں شامل کیا۔

اصل بات:

• narrow Microsoft Patch Tuesday: تقریباً 198 سے 209 Microsoft CVEs۔
• browser ecosystem: کئی سو Edge/Chromium CVEs، کچھ پہلے ہی shipped۔
• third-party software: مثلاً Adobe، اپنے کئی CVEs کے ساتھ۔
• combined: بہت بڑا مگر methodologically mixed عدد۔

Admins کے لیے یہ فرق فیصلہ کن ہے۔ Windows Server، Edge client، Adobe Reader، Defender signature level اور cloud component ایک ہی patch task نہیں۔

مگر count صاف کرنے کے بعد بھی trend باقی ہے: دیکھنے، evaluate کرنے اور update کرنے والی چیزیں بڑھ رہی ہیں۔

Exact number سے زیادہ trend اہم ہے

500 کو context کے بغیر repeat نہیں کرنا چاہیے۔ مگر اسے dismiss بھی نہیں کرنا چاہیے۔

Operational finding زیادہ strong ہے: narrow Microsoft count بھی record یا record-near تھا۔ اور June fixes میں کچھ topics ایسے تھے جنہیں آرام سے اگلی maintenance window تک نہیں دھکیلنا چاہیے۔

ZDI نے actively exploited Defender flaw highlight کیا۔ CrowdStrike نے public یا especially critical vulnerabilities بیان کیں، جن میں HTTP.sys، Windows Kernel، DHCP Client Service اور Active Directory Domain Services شامل تھے۔ Rapid7 نے لکھا کہ Microsoft نے HTTP.sys میں HTTP/2 denial-of-service public document کیا اور ایک اور HTTP.sys RCE with CVSS 9.8 fix کیا۔

لہٰذا 500 والی headline broad ہو سکتی ہے، مگر June ایسا مہینہ تھا جہاں triage واقعی اہم تھی۔

صرف total دیکھنے سے ہم بہت زیادہ اور بہت کم دونوں دیکھتے ہیں۔ زیادہ اس لیے کہ browser اور third-party CVEs Patch Tuesday perception inflate کرتے ہیں۔ کم اس لیے کہ important questions total میں نہیں:

• کیا vulnerability actively exploited ہے؟
• کیا یہ public ہے؟
• کیا کوئی internet-facing service affected ہے؟
• کیا proof-of-concept موجود ہے؟
• کیا یہ servers، clients، identity، browsers یا third-party software کو affect کرتی ہے؟
• کیا component خود update ہوتا ہے یا planned rollout چاہیے؟

یہیں good patch management اور CVE panic الگ ہوتے ہیں۔

AI کا اس سے کیا تعلق ہے؟

یہاں بات interesting ہوتی ہے، مگر precision ضروری ہے۔

May 2026 میں Microsoft نے واضح کہا کہ AI vulnerability discovery کی speed اور scale بدل رہا ہے۔ MSRC post میں Microsoft نے لکھا کہ internal teams اور security community دونوں software کو زیادہ بار اور زیادہ گہرائی سے جانچنے کے لیے AI زیادہ استعمال کر رہے ہیں۔ Microsoft نے یہ بھی کہا کہ بڑے Patch Tuesday releases کچھ عرصے تک normal ہو سکتے ہیں۔

MDASH پر Microsoft زیادہ concrete تھا۔ یہ اس کا multi-model agentic scanning harness ہے، جس میں 100 سے زیادہ specialized agents code analyze کرتے ہیں، findings debate کرتے ہیں، duplicate نکالتے ہیں اور کبھی evidence بناتے ہیں۔ Microsoft کہتا ہے کہ teams نے May Patch Tuesday کے لیے MDASH سے 16 CVEs تلاش کیے۔

یہ strong evidence ہے کہ AI اب صرف research toy نہیں۔ یہ vulnerability discovery میں آ چکا ہے۔

مگر اس سے prove نہیں ہوتا کہ June record AI کی وجہ سے تھا۔

June کے لیے کچھ concrete individual signals ہیں۔ Rapid7 لکھتا ہے کہ CVE-2026-49160، HTTP.sys denial-of-service flaw، میں Microsoft finders میں OpenAI Codex کو بھی credit کرتا ہے۔ یہ اہم ہے کیونکہ یہ CVE-level AI attribution ہے۔

Sources میں مجھے Microsoft کا ایسا strong statement نہیں ملتا کہ “June اتنا بڑا اس لیے تھا کہ X percent CVEs AI نے ڈھونڈے”۔ ZDI بھی یہی سوال پوچھتا ہے اور لکھتا ہے کہ Microsoft یہ جواب نہیں دے رہا۔

میری رائے: AI overall picture میں proven accelerator ہے۔ AI individual findings میں visible ہے۔ AI new volume reality کا حصہ بہت ممکن ہے۔ مگر June کے 500 عدد کا sole یا primary cause AI ثابت نہیں۔

یہ “AI نے 500 Microsoft flaws ڈھونڈے” جتنا spectacular نہیں۔ مگر زیادہ honest ہے۔

Operations کے لیے یہ honest version بھی کافی uncomfortable ہے۔ اگر AI code تیزی سے check کرنے، variants تیزی سے ڈھونڈنے اور پرانے patterns تیزی سے rediscover کرنے میں مدد کرتا ہے، تو صرف reports نہیں بڑھتے۔ fix کے بعد react کرنے کا وقت بھی کم ہوتا ہے۔

Browsers numbers کو کیوں distort کرتے ہیں

Browser part پوری story کا سب سے practical حصہ ہے۔

بہت سی organizations ابھی بھی Patch Tuesday کو monthly event سمجھتی ہیں: Microsoft updates دیتا ہے، ہم test کرتے ہیں، rollout کرتے ہیں اور document کرتے ہیں۔ Windows اور classic servers کے لیے یہ partly درست ہے۔

Browsers الگ چلتے ہیں۔ Chrome، Edge، Firefox وغیرہ زیادہ continuous update logic میں ہیں۔ اگر Chrome 3 June کو سینکڑوں CVEs fix کرتا ہے اور Edge Chromium-based browser کے طور پر follow کرتا ہے، تو یہ June security week میں نظر آتا ہے۔ مگر یہ Exchange، Windows Kernel یا AD DS patch جیسا کام نہیں۔

MSPs اور admins کو دو numbers چاہئیں: classic Microsoft process کے لیے narrow Patch Tuesday number، اور browsers، Adobe، security components، developer tools اور third-party software کے لیے ecosystem number۔

دونوں useful ہیں۔ انہیں mix کرنا bad decisions بناتا ہے۔

کم local tools بھی security strategy ہے

اسی لیے میں اپنے Mac پر جتنے کم local tools install کر سکوں، اتنا بہتر سمجھتا ہوں۔

یہ minimalism لگ سکتا ہے۔ میرے لیے یہ mainly patch management ہے۔ ہر extra tool code کا ایک اور حصہ ہے جسے maintain کرنا پڑتا ہے: dependencies، update mechanisms، permissions، کبھی auto-updaters، background services، browser extensions یا local helper processes۔

ہر component تین uncomfortable questions اٹھاتا ہے:

• کیا developer vulnerability کے بارے میں جانتا ہے؟
• کیا patch already available ہے؟
• کیا patch reliably مجھ تک پہنچے گا؟

اگر app maintained نہیں، تو best CVE list بھی زیادہ مدد نہیں کرتی۔ مجھے پتہ چل سکتا ہے کہ کچھ vulnerable ہے، مگر یہ نہیں کہ وہ صحیح fix ہوگا۔

اسی لیے جہاں مناسب ہو، میں local apps کے بجائے webapps کو ترجیح دیتا ہوں۔ یہ automatically safer نہیں۔ webapp میں بھی security issues ہو سکتے ہیں۔ مگر patch responsibility زیادہ provider پر ہوتی ہے، اور میں اپنے system پر installed programs، updaters اور local attack surface کم کرتا ہوں۔

یہ religious rule نہیں۔ کچھ local tools ضروری ہیں، خاص طور پر network اور security work میں۔ مگر ہر tool کے لیے reason چاہیے۔ patch velocity بڑھنے پر “nice to have” کم convincing رہ جاتا ہے۔

Patching continuous task بن رہا ہے

June 2026 صرف یہ نہیں دکھاتا کہ CVEs زیادہ ہیں۔ یہ دکھاتا ہے کہ پرانی monthly mindset brittle ہو رہی ہے۔

آج میں patch management کو چار lanes میں سوچوں گا: Windows، Office، server roles، Exchange، SharePoint اور Active Directory کے classic Microsoft updates؛ browsers اور web clients کے continuous updates؛ Defender جیسے security components جہاں auto-update status پہلے check کرنا چاہیے؛ اور Adobe، PDF tools، VPN clients، remote tools، communication apps اور utilities جیسے third-party software۔

یہ زیادہ structure مانگتا ہے۔ یہی point ہے۔

اگر AI vulnerability discovery accelerate کرتا ہے، تو “install” جلدی click کرنا کافی نہیں۔ بہتر triage چاہیے۔

بہتر سوال “کتنے؟” نہیں

Number اہم ہے، مگر سب سے اہم سوال نہیں۔

Admins اور MSPs کے لیے یہ questions زیادہ valuable ہیں:

• کون سے systems internet-facing ہیں؟
• کون سی vulnerabilities actively exploited یا publicly detailed ہیں؟
• کون سے updates identity، remote access یا server services کو affect کرتے ہیں؟
• کون سے products خود update ہوتے ہیں اور کون سے نہیں؟
• کون سے fixes reboot یا maintenance window چاہتے ہیں؟
• کون سے systems legacy، application dependencies یا missing windows کی وجہ سے stuck ہیں؟
• patching کے بعد بھی exploitation کہاں search کرنی چاہیے؟

Microsoft خود MSRC post میں اسی direction کی recommendation کرتا ہے: raw count سے نہیں، بلکہ exposure، impact، exploitability اور real exploitation سے prioritize کریں۔

شاید June کا سب سے اہم lesson یہی ہے۔

Raw number زیادہ loud ہو رہا ہے۔ Triage بہتر ہونی چاہیے۔

trueNetLab کے لیے میری سیکھ

میں June Patch Tuesday کو حالیہ AI-security topics کا operational counterpart سمجھتا ہوں۔

Anthropic Mythos اور Project Glasswing میں سوال تھا کہ models vulnerabilities کتنی اچھی طرح تلاش کر سکتے ہیں۔ bug bounty article میں point تھا کہ security teams کو harder evidence چاہیے، کیونکہ good findings اور AI slop ساتھ ساتھ بڑھ رہے ہیں۔

June Patch Tuesday اب operations side دکھاتا ہے: vulnerabilities زیادہ مل رہی ہیں، sources مختلف count کر رہے ہیں، components classic Patch Tuesday logic کے باہر update ہو رہے ہیں، اور زیادہ لوگ بڑے number کو simple story بنانا چاہتے ہیں۔

Simple story یہ ہوگی: AI اب ہر مہینے 500 Microsoft flaws تلاش کرتا ہے۔

Better story یہ ہے: vulnerability discovery تیز، وسیع اور communicate کرنے میں مشکل ہو رہی ہے۔ AI اس کا حصہ ہے۔ Browsers اور third parties اس کا حصہ ہیں۔ بہتر counting methodology اس کا حصہ ہے۔ اور admins کے لیے number کو reliable patch plan میں بدلنا زیادہ important ہو رہا ہے۔

میرے لیے personally ایک اور point ہے: best vulnerability وہ ہے جسے مجھے local چلانا ہی نہ پڑے۔ کم tools، کم local attack surface، کم update chains، کم silent leftovers۔ یہ ہمیشہ comfortable نہیں، کیونکہ خوبصورت apps کو زیادہ بار no کہنا پڑتا ہے۔ مگر بڑھتے patch tempo کی دنیا میں یہ discipline زیادہ valuable ہے۔

میرا نتیجہ

June میں 500 CVEs اچھا warning signal ہیں، مگر اچھی operational unit نہیں۔

اسے panic بنانا مدد نہیں کرتا۔ اسے counting trick کہہ کر dismiss کرنا trend miss کرنا ہے۔ سچ درمیان میں ہے: Microsoft کا June 2026 واقعی unusually large تھا، مگر 500 headline broad patch ecosystem بتاتی ہے، صرف Microsoft patches نہیں۔ AI واضح طور پر vulnerability discovery accelerate کرتا ہے، مگر June peak کے لیے یہ proven sole cause نہیں بلکہ plausible factor ہے۔

میرے لیے consequence clear ہے: patch management monthly ritual کم اور continuous risk steering زیادہ ہونا چاہیے۔

ہر CVE equally urgent نہیں۔ مگر بڑے patchdays کو monthly routine کے طور پر process کرنے کا وقت کم ہو رہا ہے۔

اور شاید June کا اصل lesson یہی ہے: ہر دن ابھی patchday نہیں۔ مگر ہم صاف طور پر اسی سمت جا رہے ہیں۔

اگلی بار تک،
Joe