2026-04-14 00:00
← VoltarA Microsoft lançou hoje atualizações de software para corrigir 167 vulnerabilidades de segurança em seus sistemas operacionais Windows e software relacionado, incluindo um dia zero do SharePoint Server e uma fraqueza divulgada publicamente no Windows Defender apelidada de “BlueHammer”. Separadamente, o Google Chrome corrigiu seu quarto dia zero de 2026, e uma atualização de emergência para o Adobe Reader elimina uma falha explorada ativamente que pode levar à execução remota de código. Redmond alerta que os invasores já têm como alvo o CVE-2026-32201, uma vulnerabilidade no Microsoft SharePoint Server que permite aos invasores falsificar conteúdo ou interfaces confiáveis em uma rede. Mike Walters, presidente e cofundador da Action1, disse que o CVE-2026-32201 pode ser usado para enganar funcionários, parceiros ou clientes, apresentando informações falsificadas em ambientes confiáveis do SharePoint. “Este CVE pode permitir ataques de phishing, manipulação não autorizada de dados ou campanhas de engenharia social que levam a maiores comprometimentos”, disse Walters. “A presença de exploração ativa aumenta significativamente o risco organizacional.” A Microsoft também abordou o BlueHammer (CVE-2026-33825), um bug de escalonamento de privilégios no Windows Defender. De acordo com o BleepingComputer, o pesquisador que descobriu a falha publicou um código de exploração para ela depois de notificar a Microsoft e ficar exasperado com sua resposta. Will Dormann, analista sênior...
A Microsoft lançou hoje atualizações de software para corrigir 167 vulnerabilidades de segurança em seus sistemas operacionais Windows e software relacionado, incluindo um dia zero do SharePoint Server e uma fraqueza divulgada publicamente no Windows Defender apelidada de “BlueHammer”. Separadamente, o Google Chrome corrigiu seu quarto dia zero de 2026, e uma atualização de emergência para o Adobe Reader elimina uma falha explorada ativamente que pode levar à execução remota de código. Redmond alerta que os invasores já têm como alvo o CVE-2026-32201, uma vulnerabilidade no Microsoft SharePoint Server que permite aos invasores falsificar conteúdo ou interfaces confiáveis em uma rede. Mike Walters, presidente e cofundador da Action1, disse que o CVE-2026-32201 pode ser usado para enganar funcionários, parceiros ou clientes, apresentando informações falsificadas em ambientes confiáveis do SharePoint. “Este CVE pode permitir ataques de phishing, manipulação não autorizada de dados ou campanhas de engenharia social que levam a maiores comprometimentos”, disse Walters. “A presença de exploração ativa aumenta significativamente o risco organizacional.” A Microsoft também abordou o BlueHammer (CVE-2026-33825), um bug de escalonamento de privilégios no Windows Defender. De acordo com o BleepingComputer, o pesquisador que descobriu a falha publicou um código de exploração para ela depois de notificar a Microsoft e ficar exasperado com sua resposta. Will Dormann, analista sênior de vulnerabilidades da Tharros, diz que confirmou que o código de exploração público do BlueHammer não funciona mais após a instalação dos patches atuais.
Satnam Narang, engenheiro sênior de pesquisa da Tenable, disse que abril marca a segunda maior terça-feira de patches para a Microsoft. Narang também disse que há indicações de que uma falha de dia zero que a Adobe corrigiu em uma atualização de emergência em 11 de abril – CVE-2026-34621 – tem sido explorada ativamente desde pelo menos novembro de 2025. Adam Barnett, engenheiro-chefe de software da Rapid7, chamou o patch total da Microsoft hoje de “um novo recorde nessa categoria” porque inclui quase 60 vulnerabilidades de navegador. Barnett disse que pode ser tentador imaginar que esse aumento repentino estava ligado ao burburinho em torno do anúncio, há uma semana, do Projeto Glasswing – um novo recurso de IA muito elogiado, mas ainda não lançado, da Anthropic que é supostamente muito bom em encontrar bugs em uma vasta gama de software. Mas ele observa que o Microsoft Edge é baseado no mecanismo Chromium, e os mantenedores do Chromium reconhecem uma ampla gama de pesquisadores pelas vulnerabilidades que a Microsoft republicou na sexta-feira passada. “Uma conclusão segura é que este aumento no volume é impulsionado pela crescente capacidade de IA”, disse Barnett. “Devemos esperar ver novos aumentos no volume de relatórios de vulnerabilidades à medida que o impacto dos modelos de IA se estende ainda mais, tanto em termos de capacidade como de disponibilidade.” Finalmente, não importa qual navegador você usa para navegar na web, é importante fechar completamente e reiniciar o navegador periodicamente. Isso é realmente fácil de adiar (especialmente se você tiver um bilhão de guias abertas a qualquer momento), mas é a única maneira de garantir que todas as atualizações disponíveis sejam instaladas.
Por exemplo, uma atualização do Google Chrome lançada no início deste mês corrigiu 21 falhas de segurança, incluindo a falha de dia zero de alta gravidade CVE-2026-5281. Para uma análise clicável por patch, confira o resumo do SANS Internet Storm Center Patch Tuesday. Está tendo problemas ao aplicar alguma dessas atualizações? Deixe uma observação sobre isso nos comentários abaixo e há uma boa chance de alguém aqui apresentar uma solução.