2026-05-12 00:00
← VoltarAs plataformas de inteligência artificial podem ser tão susceptíveis à engenharia social como os seres humanos, mas estão a revelar-se notavelmente boas na detecção de vulnerabilidades de segurança em códigos informáticos produzidos pelo homem. Essa realidade está em plena exibição este mês com alguns dos fabricantes de software mais utilizados – incluindo Apple, Google, Microsoft, Mozilla e Oracle – corrigindo volumes quase recordes de bugs de segurança e/ou acelerando o ritmo de seus lançamentos de patches. Como acontece na segunda terça-feira de cada mês, a Microsoft lançou hoje atualizações de software para resolver pelo menos 118 vulnerabilidades de segurança em seus vários sistemas operacionais Windows e outros produtos. Surpreendentemente, esta é a primeira Patch Tuesday em quase dois anos em que a Microsoft não envia nenhuma correção para lidar com falhas emergenciais de dia zero que já estão sendo exploradas. Nem nenhuma das falhas corrigidas hoje foi divulgada anteriormente (potencialmente dando aos invasores um aviso sobre como explorar a fraqueza). Dezesseis das vulnerabilidades ganharam o rótulo “crítico” mais terrível da Microsoft, o que significa que malware ou malfeitores poderiam abusar desses bugs para obter o controle remoto de um dispositivo Windows vulnerável com pouca ou nenhuma ajuda do usuário. Rapid7 fez grande parte do trabalho pesado na identificação de alguns dos pontos fracos críticos mais preocupantes deste mês, incluindo: CVE-2026-41089: Um...
As plataformas de inteligência artificial podem ser tão susceptíveis à engenharia social como os seres humanos, mas estão a revelar-se notavelmente boas na detecção de vulnerabilidades de segurança em códigos informáticos produzidos pelo homem. Essa realidade está em plena exibição este mês com alguns dos fabricantes de software mais utilizados – incluindo Apple, Google, Microsoft, Mozilla e Oracle – corrigindo volumes quase recordes de bugs de segurança e/ou acelerando o ritmo de seus lançamentos de patches. Como acontece na segunda terça-feira de cada mês, a Microsoft lançou hoje atualizações de software para resolver pelo menos 118 vulnerabilidades de segurança em seus vários sistemas operacionais Windows e outros produtos. Surpreendentemente, esta é a primeira Patch Tuesday em quase dois anos em que a Microsoft não envia nenhuma correção para lidar com falhas emergenciais de dia zero que já estão sendo exploradas. Nem nenhuma das falhas corrigidas hoje foi divulgada anteriormente (potencialmente dando aos invasores um aviso sobre como explorar a fraqueza). Dezesseis das vulnerabilidades ganharam o rótulo “crítico” mais terrível da Microsoft, o que significa que malware ou malfeitores poderiam abusar desses bugs para obter o controle remoto de um dispositivo Windows vulnerável com pouca ou nenhuma ajuda do usuário. Rapid7 fez grande parte do trabalho pesado na identificação de alguns dos pontos fracos críticos mais preocupantes deste mês, incluindo: CVE-2026-41089: Um buffer overflow crítico baseado em pilha no Windows Netlogon que oferece ao invasor privilégios de SISTEMA no controlador de domínio. Não são necessários privilégios ou interação do usuário e a complexidade do ataque é baixa.
Os patches estão disponíveis para todas as versões do Windows Server a partir de 2012. CVE-2026-41096: Um RCE crítico na implementação do cliente DNS do Windows que merece atenção, apesar da Microsoft avaliar a exploração como menos provável. CVE-2026-41103: Uma vulnerabilidade crítica de elevação de privilégio que permite que um invasor não autorizado se faça passar por um usuário existente apresentando credenciais forjadas, ignorando assim o Entra ID. A Microsoft espera que a exploração seja mais provável. O Patch Tuesday de maio é uma pausa bem-vinda em relação a abril, quando a Microsoft corrigiu um quase recorde de 167 falhas de segurança. A Microsoft estava entre algumas dezenas de gigantes da tecnologia que tiveram acesso ao “Projeto Glasswing”, um recurso de IA muito elogiado desenvolvido pela Anthropic que parece bastante eficaz na descoberta de vulnerabilidades de segurança em código. A Apple, outro participante pioneiro do Projeto Glasswing, normalmente corrige uma média de 20 vulnerabilidades cada vez que lança uma atualização de segurança para dispositivos iOS, disse Chris Goettl, vice-presidente de gerenciamento de produtos da Ivanti. Em 11 de maio, a Apple enviou atualizações para resolver pelo menos 52 vulnerabilidades e transferiu as alterações para o iPhone 6s e iOS 15.
No mês passado, a Mozilla lançou o Firefox 150, que resolveu 271 vulnerabilidades que foram supostamente descobertas durante a avaliação do Glasswing. “Desde o lançamento do Firefox 150.0.0, eles têm mantido uma cadência semanal mais agressiva para atualizações de segurança, incluindo o lançamento do Firefox 150.0.3 na terça-feira de maio, resolvendo entre três a cinco CVEs em cada versão”, disse Goettl. A gigante do software Oracle também aumentou recentemente seu ritmo de patches em resposta ao seu trabalho com a Glasswing. Em sua atualização trimestral mais recente, a Oracle corrigiu pelo menos 450 falhas, incluindo mais de 300 correções para falhas não autenticadas e exploráveis remotamente. Mas no final de abril, a Oracle anunciou que estava mudando para um ciclo de atualização mensal para questões críticas de segurança. Em 8 de maio, o Google começou a lançar atualizações em seu navegador Chrome que corrigiram surpreendentes 127 falhas de segurança (contra apenas 30 no mês anterior). O Chrome baixa automaticamente as atualizações de segurança disponíveis, mas para instalá-las é necessário reiniciar totalmente o navegador. Se você encontrar alguma estranheza ao aplicar as atualizações da Microsoft ou de qualquer outro fornecedor mencionado aqui, sinta-se à vontade para comentar nos comentários abaixo.
Enquanto isso, se você não fez backup de seus dados e/ou unidade recentemente, fazer isso antes da atualização geralmente é um bom conselho. ce. Para uma visão mais detalhada das atualizações da Microsoft lançadas hoje, confira este inventário do SANS Internet Storm Center.