2026-06-09 00:00
← VoltarA Microsoft lançou hoje atualizações de software para corrigir quase 200 falhas de segurança em seus sistemas operacionais Windows e software compatível, um número recorde de correções para o ciclo mensal de Patch Tuesday da empresa. Quase três dúzias desses bugs receberam a classificação “crítica” mais terrível da Microsoft, e o código de exploração de pelo menos três dos pontos fracos está agora disponível publicamente. A gigante do software disse em um blog no mês passado que tanto seus engenheiros quanto a comunidade de segurança estão cada vez mais usando ferramentas de inteligência artificial para encontrar bugs, o que significa que o pesado Patch Tuesday deste mês pode começar a se tornar a norma, disse Satnam Narang, engenheiro sênior de pesquisa da Tenable. “Algumas pesquisas colocam o uso de IA entre profissionais de segurança em geral em 90%, então não é surpreendente que esse volume de patches possa ser a norma”, disse Narang. “A proverbial caixa de Pandora foi aberta e, à medida que modelos de IA mais avançados se tornam disponíveis, esperamos que a norma continue em alta em todos os níveis, não apenas no Patch Tuesday.” Os bugs de dia zero de junho incluem CVE-2026-49160, uma vulnerabilidade de negação de serviço que afeta uma variedade de servidores web, incluindo o Microsoft Internet Information Services (IIS). A Microsoft diz que a falha foi relatada pelo Codex da OpenAI. Dois dos dias zero abordados neste mês parecem resultar de recentes divulgações de...
A Microsoft lançou hoje atualizações de software para corrigir quase 200 falhas de segurança em seus sistemas operacionais Windows e software compatível, um número recorde de correções para o ciclo mensal de Patch Tuesday da empresa. Quase três dúzias desses bugs receberam a classificação “crítica” mais terrível da Microsoft, e o código de exploração de pelo menos três dos pontos fracos está agora disponível publicamente. A gigante do software disse em um blog no mês passado que tanto seus engenheiros quanto a comunidade de segurança estão cada vez mais usando ferramentas de inteligência artificial para encontrar bugs, o que significa que o pesado Patch Tuesday deste mês pode começar a se tornar a norma, disse Satnam Narang, engenheiro sênior de pesquisa da Tenable. “Algumas pesquisas colocam o uso de IA entre profissionais de segurança em geral em 90%, então não é surpreendente que esse volume de patches possa ser a norma”, disse Narang. “A proverbial caixa de Pandora foi aberta e, à medida que modelos de IA mais avançados se tornam disponíveis, esperamos que a norma continue em alta em todos os níveis, não apenas no Patch Tuesday.” Os bugs de dia zero de junho incluem CVE-2026-49160, uma vulnerabilidade de negação de serviço que afeta uma variedade de servidores web, incluindo o Microsoft Internet Information Services (IIS). A Microsoft diz que a falha foi relatada pelo Codex da OpenAI. Dois dos dias zero abordados neste mês parecem resultar de recentes divulgações de vulnerabilidades do Nightmare Eclipse, apelido escolhido por um pesquisador de segurança que vem lançando exploits para várias falhas do Windows. Um deles, apelidado de “GreenPlasma”, aproveita uma fraqueza de elevação de privilégios no Windows Collaborative Translation Framework, a mesma estrutura corrigida hoje em CVE-2026-45586.
Nightmare Eclipse também lançou no mês passado “YellowKey”, uma exploração para uma vulnerabilidade do Windows BitLocker que permite que um invasor com acesso físico visualize dados criptografados, e CVE-2026-50507 é um patch para um bug de elevação de privilégio no BitLocker. A Microsoft recebeu forte repercussão nas redes sociais no mês passado, depois de anunciar em um blog que estava considerando tomar medidas legais contra o pesquisador de segurança. A empresa esclareceu posteriormente no Twitter/X que, embora não tenha intenção de iniciar ações legais contra pesquisadores, os denunciaria às autoridades se infringissem a lei. Os avisos para CVE-2026-49160 e CVE-2026-50507 não dão crédito a nenhum pesquisador na seção de reconhecimento, dizendo apenas que “a Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades”. Nightmare Eclipse afirma ser um ex-funcionário da Microsoft, embora a Microsoft não tenha respondido às perguntas sobre esta afirmação. Rapid7 observa que uma postagem recente no blog de Nightmare Eclipse incluía uma imagem de Albert Wesker, um personagem da série de videogames Resident Evil que anteriormente trabalhou como pesquisador para uma empresa de tecnologia antes de se tornar desonesto. Nightmare Eclipse prometeu lançar ainda mais explorações de dia zero para Windows no que eles chamaram de lançamento “destruidor de ossos” planejado para 14 de julho (o mesmo dia do Patch Tuesday do próximo mês). Imediatamente após o lançamento dos patches da Microsoft hoje, o pesquisador publicou uma exploração para o que alegou ser um bug de dia zero no Windows Defender.
Embora 200 vulnerabilidades possam ser um recorde para o Patch Tuesday, o número real de falhas de segurança que a Microsoft corrigiu este mês é muito maior, disse Adam Barnett do Rapid7. “Até agora, neste mês, a Microsoft forneceu patches para resolver vulnerabilidades do navegador 360, o que é uma ordem de magnitude maior do que o normal em qualquer mês dos últimos anos”, escreveu Barnett. "Como de costume, as [falhas] do navegador não estão incluídas na contagem do Patch Tuesday acima. Na verdade, o grande e presumivelmente sustentado aumento no número de vulnerabilidades do navegador fez com que a Microsoft não enumerasse mais os CVEs do Chromium no Guia de atualização de segurança." A Microsoft também corrigiu uma vulnerabilidade de dia zero no Visual Studio Code que permite que invasores roubem tokens do GitHub com um único clique. O com. A empresa foi forçada a implementar uma solução provisória para a falha em 3 de junho, depois que um pesquisador publicou instruções mostrando como explorá-la. O pesquisador disse que optou por não trabalhar com a Microsoft por causa de uma experiência recente em que Redmond corrigiu silenciosamente uma falha relatada sem oferecer crédito ou reconhecimento. A Microsoft lutou contra suas próprias emergências internas de dia zero na semana passada, depois que pelo menos 72 repositórios de código público da empresa foram infectados com uma variante do worm Shai-Hulud.
Os pesquisadores descobriram que todos os pacotes afetados estavam conectados ao Azure Durable Task SDK oficial da Microsoft, que foi atingido pelo mesmo worm Shai-Hulud em maio. Outros grandes fabricantes de software também estão enviando pacotes de atualização descomunais este mês. A Adobe lançou atualizações para corrigir um grande número de vulnerabilidades críticas em uma variedade de produtos, incluindo Adobe Experience Manager, Acrobat Reader e Cold Fusion. Em 3 de junho, o Google resolveu 429 vulnerabilidades em sua atualização mais recente do navegador Chrome (o Chrome baixa atualizações automaticamente, mas instalá-las geralmente requer uma reinicialização completa do navegador). Como sempre, considere fazer backup de seus dados antes de aplicar as atualizações do sistema operacional e deixe uma observação nos comentários se tiver algum problema com os patches deste mês. Leitura adicional: Guia de atualização de segurança da Microsoft Análise do Patch Tuesday da Action1 Notas do SANS Internet Storm Center no Patch Tuesday