Patch Tuesday de Junho de 2026: Um Recorde de Correções da Microsoft e o Impacto da IA na Descoberta de Vulnerabilidades
A Microsoft lançou um número recorde de atualizações de segurança em seu ciclo mensal de Patch Tuesday, corrigindo quase 200 falhas. O aumento é atribuído ao uso crescente de ferramentas de IA por engenheiros e pela comunidade de segurança, com pelo menos três vulnerabilidades zero-day já tendo exploits disponíveis publicamente.
MundiX News·10 de junho de 2026·7 min de leitura·👁 8 views
A Microsoft divulgou hoje atualizações de software para corrigir quase 200 falhas de segurança em seus sistemas operacionais Windows e softwares suportados, um número recorde de correções para o ciclo mensal de Patch Tuesday da empresa. Quase três dúzias dessas falhas receberam a classificação mais severa da Microsoft, "crítica", e o código de exploração (exploit code) para pelo menos três das fraquezas já está disponível publicamente.
A gigante do software afirmou em um post de blog no mês passado que tanto seus engenheiros quanto a comunidade de segurança estão aumentando o uso de ferramentas de inteligência artificial (IA) para encontrar bugs, o que significa que o volume de patches deste mês pode começar a se tornar a norma, disse Satnam Narang, engenheiro sênior de pesquisa da Tenable. "Algumas pesquisas colocam o uso de IA entre os profissionais de segurança em geral em 90%, então não é surpreendente que esse volume de patches possa ser a norma", disse Narang. "A caixa de Pandora proverbial foi aberta, e à medida que modelos de IA mais avançados se tornam disponíveis, esperamos que a norma continue a subir em todos os setores, não apenas para o Patch Tuesday."
As vulnerabilidades zero-day de junho incluem a CVE-2026-49160, uma vulnerabilidade de negação de serviço (Denial of Service) que afeta uma variedade de servidores web, incluindo o Internet Information Services (IIS) da Microsoft. A Microsoft afirma que a falha foi reportada pelo Codex da OpenAI. Duas das zero-days abordadas este mês parecem ter origem em divulgações recentes de vulnerabilidades por Nightmare Eclipse, o apelido escolhido por um pesquisador de segurança que tem divulgado exploits para várias falhas do Windows. Uma delas, apelidada de "GreenPlasma", explora uma fraqueza de elevação de privilégio (elevation of privilege) no Windows Collaborative Translation Framework, o mesmo framework corrigido hoje na CVE-2026-45586. Nightmare Eclipse também divulgou no mês passado "YellowKey", um exploit para uma vulnerabilidade do Windows BitLocker que permite a um atacante com acesso físico visualizar dados criptografados, e a CVE-2026-50507 é um patch para um bug de elevação de privilégio no BitLocker.
A Microsoft recebeu forte reação negativa nas redes sociais no mês passado após afirmar em um post de blog que estava considerando tomar medidas legais contra o pesquisador de segurança. A empresa posteriormente esclareceu no Twitter/X que, embora não tenha intenção de processar pesquisadores, ela os reportaria às autoridades se eles violassem a lei. Os avisos para CVE-2026-49160 e CVE-2026-50507 não creditam nenhum pesquisador na seção de reconhecimento, dizendo apenas que "A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades". Nightmare Eclipse afirma ser um ex-funcionário da Microsoft, embora a Microsoft não tenha respondido a perguntas sobre essa alegação. A Rapid7 observa que um post de blog recente de Nightmare Eclipse incluía uma imagem de Albert Wesker, um personagem da série de videogames Resident Evil que trabalhou como pesquisador para uma empresa de tecnologia antes de se tornar um "vilão".
Nightmare Eclipse prometeu divulgar ainda mais exploits zero-day para o Windows em um lançamento que chamou de "quebra de ossos" (bone shattering), planejado para 14 de julho (o mesmo dia do próximo Patch Tuesday). Imediatamente após a liberação dos patches da Microsoft hoje, o pesquisador publicou um exploit para o que ele alegou ser um bug zero-day no Windows Defender. Embora 200 vulnerabilidades possam ser um recorde para o Patch Tuesday, o número real de falhas de segurança que a Microsoft abordou este mês é muito maior, disse Adam Barnett, da Rapid7. "Até agora este mês, a Microsoft forneceu patches para abordar 360 vulnerabilidades de navegador, o que é uma ordem de magnitude maior do que o típico em qualquer mês nos últimos anos", escreveu Barnett. "Como sempre, as falhas de navegador não estão incluídas na contagem do Patch Tuesday acima. De fato, o vasto e presumivelmente sustentado aumento no número de vulnerabilidades de navegador levou a Microsoft a não mais enumerar os CVEs do Chromium no Security Update Guide."
A Microsoft também corrigiu uma vulnerabilidade zero-day no Visual Studio Code que permite que atacantes roubem tokens do GitHub com um único clique. A empresa foi forçada a lançar uma correção paliativa (stopgap fix) para a falha em 3 de junho, após um pesquisador publicar instruções mostrando como explorá-la. O pesquisador disse que optou por não trabalhar com a Microsoft devido a uma experiência recente em que a Redmond corrigiu silenciosamente uma falha que ele relatou sem oferecer crédito ou reconhecimento. A Microsoft enfrentou suas próprias emergências internas de zero-day na semana passada, após pelo menos 72 dos repositórios de código público da empresa serem infectados com uma variante do worm Shai-Hulud. Pesquisadores descobriram que todos os pacotes afetados estavam conectados ao SDK oficial Azure Durable Task da Microsoft, que foi atingido pelo mesmo worm Shai-Hulud em maio.
Outros grandes fabricantes de software também estão enviando pacotes de atualização maiores este mês. A Adobe lançou atualizações para corrigir um número massivo de vulnerabilidades críticas em uma variedade de produtos, incluindo Adobe Experience Manager, Acrobat Reader e Cold Fusion. Em 3 de junho, o Google resolveu impressionantes 429 vulnerabilidades em sua última atualização do navegador Chrome (o Chrome baixa atualizações automaticamente, mas a instalação geralmente requer uma reinicialização completa do navegador). Como sempre, considere fazer backup de seus dados antes de aplicar atualizações do sistema operacional e deixe uma nota nos comentários se encontrar algum problema com os patches deste mês.
A Microsoft divulgou hoje atualizações de software para corrigir quase 200 falhas de segurança em seus sistemas operacionais Windows e softwares suportados, um número recorde de correções para o ciclo mensal de Patch Tuesday da empresa. Quase três dúzias dessas falhas receberam a classificação mais severa da Microsoft, "crítica", e o código de exploração (exploit code) para pelo menos três das fraquezas já está disponível publicamente.
A gigante do software afirmou em um post de blog no mês passado que tanto seus engenheiros quanto a comunidade de segurança estão aumentando o uso de ferramentas de inteligência artificial (IA) para encontrar bugs, o que significa que o volume de patches deste mês pode começar a se tornar a norma, disse Satnam Narang, engenheiro sênior de pesquisa da Tenable. "Algumas pesquisas colocam o uso de IA entre os profissionais de segurança em geral em 90%, então não é surpreendente que esse volume de patches possa ser a norma", disse Narang. "A caixa de Pandora proverbial foi aberta, e à medida que modelos de IA mais avançados se tornam disponíveis, esperamos que a norma continue a subir em todos os setores, não apenas para o Patch Tuesday."
As vulnerabilidades zero-day de junho incluem a CVE-2026-49160, uma vulnerabilidade de negação de serviço (Denial of Service) que afeta uma variedade de servidores web, incluindo o Internet Information Services (IIS) da Microsoft. A Microsoft afirma que a falha foi reportada pelo Codex da OpenAI. Duas das zero-days abordadas este mês parecem ter origem em divulgações recentes de vulnerabilidades por Nightmare Eclipse, o apelido escolhido por um pesquisador de segurança que tem divulgado exploits para várias falhas do Windows. Uma delas, apelidada de "GreenPlasma", explora uma fraqueza de elevação de privilégio (elevation of privilege) no Windows Collaborative Translation Framework, o mesmo framework corrigido hoje na CVE-2026-45586. Nightmare Eclipse também divulgou no mês passado "YellowKey", um exploit para uma vulnerabilidade do Windows BitLocker que permite a um atacante com acesso físico visualizar dados criptografados, e a CVE-2026-50507 é um patch para um bug de elevação de privilégio no BitLocker.
A Microsoft recebeu forte reação negativa nas redes sociais no mês passado após afirmar em um post de blog que estava considerando tomar medidas legais contra o pesquisador de segurança. A empresa posteriormente esclareceu no Twitter/X que, embora não tenha intenção de processar pesquisadores, ela os reportaria às autoridades se eles violassem a lei. Os avisos para CVE-2026-49160 e CVE-2026-50507 não creditam nenhum pesquisador na seção de reconhecimento, dizendo apenas que "A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades". Nightmare Eclipse afirma ser um ex-funcionário da Microsoft, embora a Microsoft não tenha respondido a perguntas sobre essa alegação. A Rapid7 observa que um post de blog recente de Nightmare Eclipse incluía uma imagem de Albert Wesker, um personagem da série de videogames Resident Evil que trabalhou como pesquisador para uma empresa de tecnologia antes de se tornar um "vilão".
Nightmare Eclipse prometeu divulgar ainda mais exploits zero-day para o Windows em um lançamento que chamou de "quebra de ossos" (bone shattering), planejado para 14 de julho (o mesmo dia do próximo Patch Tuesday). Imediatamente após a liberação dos patches da Microsoft hoje, o pesquisador publicou um exploit para o que ele alegou ser um bug zero-day no Windows Defender. Embora 200 vulnerabilidades possam ser um recorde para o Patch Tuesday, o número real de falhas de segurança que a Microsoft abordou este mês é muito maior, disse Adam Barnett, da Rapid7. "Até agora este mês, a Microsoft forneceu patches para abordar 360 vulnerabilidades de navegador, o que é uma ordem de magnitude maior do que o típico em qualquer mês nos últimos anos", escreveu Barnett. "Como sempre, as falhas de navegador não estão incluídas na contagem do Patch Tuesday acima. De fato, o vasto e presumivelmente sustentado aumento no número de vulnerabilidades de navegador levou a Microsoft a não mais enumerar os CVEs do Chromium no Security Update Guide."
A Microsoft também corrigiu uma vulnerabilidade zero-day no Visual Studio Code que permite que atacantes roubem tokens do GitHub com um único clique. A empresa foi forçada a lançar uma correção paliativa (stopgap fix) para a falha em 3 de junho, após um pesquisador publicar instruções mostrando como explorá-la. O pesquisador disse que optou por não trabalhar com a Microsoft devido a uma experiência recente em que a Redmond corrigiu silenciosamente uma falha que ele relatou sem oferecer crédito ou reconhecimento. A Microsoft enfrentou suas próprias emergências internas de zero-day na semana passada, após pelo menos 72 dos repositórios de código público da empresa serem infectados com uma variante do worm Shai-Hulud. Pesquisadores descobriram que todos os pacotes afetados estavam conectados ao SDK oficial Azure Durable Task da Microsoft, que foi atingido pelo mesmo worm Shai-Hulud em maio.
Outros grandes fabricantes de software também estão enviando pacotes de atualização maiores este mês. A Adobe lançou atualizações para corrigir um número massivo de vulnerabilidades críticas em uma variedade de produtos, incluindo Adobe Experience Manager, Acrobat Reader e Cold Fusion. Em 3 de junho, o Google resolveu impressionantes 429 vulnerabilidades em sua última atualização do navegador Chrome (o Chrome baixa atualizações automaticamente, mas a instalação geralmente requer uma reinicialização completa do navegador). Como sempre, considere fazer backup de seus dados antes de aplicar atualizações do sistema operacional e deixe uma nota nos comentários se encontrar algum problema com os patches deste mês.
