A atualização de segurança de junho da Microsoft, conhecida como Patch Tuesday, é a maior de todos os tempos da empresa, com correções para mais de 200 bugs – três dos quais são zero-day que foram divulgados publicamente.
O lançamento aborda 206 falhas nas seguintes categorias, de acordo com The Hacker News: 63 vulnerabilidades de elevação de privilégio, 20 vulnerabilidades de desvio de recursos de segurança, 56 vulnerabilidades de execução remota de código, 30 vulnerabilidades de divulgação de informações, 27 vulnerabilidades de falsificação, sete vulnerabilidades de negação de serviço e três vulnerabilidades de adulteração. Trinta e nove dos bugs são classificados como “críticos” e incluem execução remota de código, elevação de privilégios e falhas de divulgação de informações.
As atualizações do Patch Tuesday são normalmente lançadas às 10h (horário do Pacífico) na segunda terça-feira de cada mês e você deve recebê-las automaticamente. Você pode atualizar se ainda não o fez; verifique o status do seu PC via Iniciar > Configurações > Windows Update e selecione Verifique se há atualizações do Windows. Em seguida, instale todas as atualizações disponíveis.
Esses três dias zero divulgados publicamente foram corrigidos em junho
Falhas de dia zero são aquelas que foram exploradas ativamente ou divulgadas publicamente antes do lançamento de uma correção oficial. Neste caso, os três dias zero foram divulgados publicamente, mas não se sabe que tenham sido explorados em estado selvagem.
O primeiro dia zero, denominado CVE-2026-45586, é uma vulnerabilidade de elevação de privilégio no Windows Collaborative Translation Framework que permite que um invasor autorizado obtenha privilégios de SYSTEM por meio de resolução de link inadequada. De acordo com BleepingComputeressa falha foi identificada pelo pesquisador de segurança Nightmare Eclipse.
O que você acha até agora?
O segundo dia zero (CVE-2026-49160) é uma vulnerabilidade de negação de serviço HTTP.sys que abusa do protocolo HTTP/2, permitindo que invasores ocupem memória e causem problemas de desempenho ou interrupções. Pesquisadores do Calif.io foram creditados pela descoberta desse bug.
Por fim, CVE-2026-50507 é uma vulnerabilidade de desvio do recurso de segurança do Windows Bitlocker que permitiria que um invasor local obtivesse acesso a uma unidade criptografada usando arquivos em uma unidade USB ou partição EFI. O patch para esta falha também abordou uma vulnerabilidade que foi divulgada publicamente pelo Nightmare Eclipse no mês passado.