A Microsoft corrigiu 206 falhas de segurança a 9 de junho, no maior Patch Tuesday da sua história. O Patch Tuesday é a ronda mensal de atualizações de segurança da empresa, lançada sempre na segunda terça-feira do mês, e a edição deste mês tornou-se a maior desde que o programa arrancou, em outubro de 2003. Das 206 correções, 32 são classificadas pela Microsoft como críticas e três são zero-days, ou seja, vulnerabilidades que se tornaram públicas antes de existir correção.
Nenhuma das três zero-days tinha sido explorada por atacantes à data do lançamento, segundo a própria Microsoft. O que impressiona é o volume. O investigador Dustin Childs, da Zero Day Initiative (ZDI) da Trend Micro, escreveu que «o número de CVE lançados pela Microsoft este ano já ultrapassa o total de todo o ano de 2018». CVE é o identificador único atribuído a cada vulnerabilidade. Metade das edições do Patch Tuesday na primeira metade de 2026 trouxe contagens de falhas bem acima da centena.
As três falhas tornadas públicas
As três vulnerabilidades divulgadas publicamente afetam componentes centrais do Windows, e a Microsoft classificou-as como «exploração mais provável». A CVE-2026-49160 (gravidade 7,5 na escala CVSS, de 0 a 10) está no HTTP.sys, o componente partilhado que serve muitos serviços web do Windows, e permite um ataque de negação de serviço, que torna um sistema indisponível, através de uma técnica chamada HTTP/2 Bomb, em que um pedido pequeno obriga o servidor a processar um volume desproporcionado de dados. A CVE-2026-45586 (7,8) está no CTFMON, o serviço de introdução de texto e idiomas, e deixa um atacante com acesso local subir a SYSTEM, a conta com controlo total da máquina. A CVE-2026-50507 (6,8) contorna o BitLocker, a cifra de disco do Windows, com acesso físico ao equipamento; é a mais delicada das três, porque já circula código de demonstração público para a explorar.
Uma falha máxima e um segundo problema no mesmo componente
Acima das zero-days em gravidade, a Microsoft assinalou dez vulnerabilidades com pontuação CVSS igual ou superior a 9,0, uma delas no máximo absoluto: a CVE-2026-48567, com 10,0, no Azure HorizonDB, embora a empresa indique que não exige ação dos clientes. A lista de gravidade elevada inclui execução remota de código (RCE, que permite a um atacante correr comandos à distância) no cliente DHCP do Windows, no kernel, no Azure Stack Edge e no Visual Studio Code. No próprio HTTP.sys, e separada da zero-day, surge a CVE-2026-47291 (9,8), uma execução remota de código sem autenticação para a qual a Microsoft publicou a única mitigação do mês. Quem tem infraestrutura web exposta à internet deve tratar as duas falhas do HTTP.sys como um único bloco prioritário. No conjunto, predominam falhas de elevação de privilégios e de execução remota; a falsificação de identidade (spoofing) subiu este mês, puxada por um grupo de entradas do SharePoint Server.
Porque há cada vez mais patches
O salto não é acaso. Vários investigadores apontam o papel crescente da inteligência artificial na descoberta de vulnerabilidades e no apoio ao desenvolvimento e teste das correções. «É extraordinário que a Microsoft consiga produzir tantos patches num único mês, mas isso levanta preocupações», escreveu Dustin Childs. Satnam Narang, engenheiro sénior de investigação da Tenable, foi mais longe: «A caixa de Pandora foi aberta e, à medida que surgem modelos de IA mais avançados, esperamos que a norma continue a subir de forma generalizada, não apenas no Patch Tuesday.» O desafio passa para quem defende: com centenas de correções por mês, decidir o que aplicar primeiro torna-se um problema só por si.
A lista completa das vulnerabilidades está no Microsoft Security Response Center, o centro de resposta de segurança da empresa. Para a maioria dos utilizadores, a recomendação mantém-se simples: abrir o Windows Update e instalar as atualizações assim que aparecerem, reiniciando o computador para as concluir.
Fontes: Microsoft Security Response Center, Zero Day Initiative, CyberScoop, SOCRadar, Malwarebytes Labs.
#StaySafe
🙏🖖
