hu, 28 May 2026
← VoltarDiversas vulnerabilidades de dia zero em componentes do Windows foram divulgadas, colocando em risco a segurança do sistema antes que os patches sejam aplicados.
A Microsoft se manifestou fortemente a favor da Divulgação Coordenada de Vulnerabilidade (CVD), instando a comunidade de pesquisa a compartilhar suas descobertas e dar aos fornecedores afetados a oportunidade de compreender melhor o impacto e abordá-los antes que sejam divulgados publicamente. O desenvolvimento ocorre depois que um pesquisador chamado Chaotic Eclipse (também conhecido como Nightmare-Eclipse) divulgou detalhes de várias vulnerabilidades de dia zero que afetam vários componentes do Windows, incluindo Defender e BitLocker, no mês passado, citando uma falha no tratamento da Microsoft no processo de divulgação de vulnerabilidades. “Nas últimas semanas, várias vulnerabilidades de dia zero foram divulgadas publicamente”, disse a gigante da tecnologia. “Os detalhes dessas vulnerabilidades não foram compartilhados com a Microsoft antes do lançamento e as divulgações colocam nossos clientes em riscos desnecessários”.
“Em resposta ao risco desnecessário criado por estas divulgações, as nossas equipas de segurança têm trabalhado continuamente para compreender o impacto, proteger os nossos clientes e desenvolver atualizações de segurança”. As vulnerabilidades incluem BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585), GreenPlasma e MiniPlasma. Após a divulgação, BlueHammer, RedSun e UnDefend foram todos explorados ativamente na natureza. A Microsoft disse que se opõe “firmemente” a tais divulgações descoordenadas e que colocar código de prova de conceito para vulnerabilidades não corrigidas pode ter “consequências no mundo real” quando acabam nas mãos de malfeitores.
“Convidamos diversas perspectivas que ajudam a comunidade de segurança a trabalhar em conjunto para proteger todos. Percebemos que nem sempre concordaremos em tudo, mas estamos comprometidos com a transparência e continuamos a criar oportunidades de diálogo”, acrescentou a gigante tecnológica. “Essas conversas acontecem em eventos de valorização de pesquisadores, conferências de segurança e no trabalho diário que fazemos juntos para compreender e lidar com vulnerabilidades”. Diz-se que as consequências dessas divulgações levaram o GitHub a retirar a conta do pesquisador na semana passada.
Embora o código de exploração das seis vulnerabilidades tenha sido posteriormente carregado no GitLab, a conta recém-criada foi bloqueada. “Então, deixe-me ver se entendi, quando pedi ativamente para você se comunicar comigo, você recusou, me humilhou e fez questão de me insultar na frente das pessoas”, disse o pesquisador em post publicado no fim de semana. “Você me difama em público com seu aviso CVE-2026-45585, embora tenha literalmente excluído a conta da Microsoft com a qual eu costumava relatar bugs e não ganhei nenhum centavo por fazer isso e ainda assim, felizmente, fui um idiota. O pesquisador disse ainda que pretende lançar algo no dia 14 de julho de 2026, que “fará com que seus ossos sejam quebrados naquele dia”.
Aprenda estratégias práticas para detectar e defender-se contra ameaças cibernéticas além das vulnerabilidades de dia zero. Aprenda como validar resultados de pentesting automatizados para tomar decisões de segurança precisas. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.