… de segurança para as atualizações mensais “de terça-feira” do Windows! Se por um lado, ter o máximo de falhas de seguranças corrigidas é algo positivo, por outro me assusta a existência de uma enorme quantidade delas! Para variar, há tempos sabemos que estas atualizações possuem o “hábito” de quebrar o sistema, dado o quanto complexo e inchado ele se tornou. Por isto, acredito que existe uma grande possibilidade deste pacotes de atualização trazer uma série de problemas indesejados…
“System administrators are in for a busy few weeks after Microsoft published updates to fix 200 vulnerabilities including three publicly disclosed zero-days June’s Patch Tuesday. A total of 33 critical CVEs were tackled, with most (28) remote code execution (RCE) bugs. One of the most noteworthy zero-days is CVE-2026-49160, also known as “HTTP/2 Bomb”. It’s a denial of service (DoS) vulnerability discovered by AI-powered research tools which could allow an attacker with a single home computer to take down web servers in as little as 20 seconds.”
— by Infosecurity Magazine.
A Microsoft disponibilizou atualizações para corrigir 200 vulnerabilidades no ciclo de atualizações de junho, incluindo três falhas de “dia zero” que já haviam sido divulgadas publicamente. Os administradores de sistemas enfrentam um período de trabalho intenso para mitigar estes problemas, que abrangem um total de 33 falhas críticas. A maior parte das vulnerabilidades corrigidas envolve a execução remota de código (RCE) e a elevação de privilégios (EoP), que sozinhas somam mais de uma centena de falhas corrigidas.
A primeira falha de destaque é a CVE-2026-49160, amplamente conhecida como “HTTP/2 Bomb”. Trata-se de uma vulnerabilidade de negação de serviço (DoS) que foi descoberta através de ferramentas de pesquisa baseadas em inteligência artificial. Este problema permite que um atacante, utilizando apenas um computador doméstico comum, consiga derrubar servidores web em cerca de 20 segundos. Especialistas apontam que esta classe de falhas que afeta os padrões HTTP/2 e HTTP/3, tende a crescer à medida que investigadores utilizam modelos de linguagem avançados (LLMs) para analisar as infraestruturas da Internet.
A segunda vulnerabilidade crítica abordada é a CVE-2026-50507, que consiste na violação de uma funcionalidade de segurança do Windows BitLocker. Esta falha possibilita que um atacante com acesso físico ao sistema contorne os controles de segurança e acesse os dados cifrados no dispositivo. A exploração deste vetor coloca em risco informações comerciais confidenciais, registos financeiros e propriedade intelectual, comprometendo severamente a conformidade regulatória e a reputação das empresas afetadas.
As duas últimas falhas relevantes detalhadas incluem riscos severos de controle e execução. A CVE-2026-45586 é uma vulnerabilidade de elevação de privilégios no Windows Collaborative Translation Framework (CTFMON), a qual permite que um usuário local autenticado obtenha privilégios de sistema e assuma o controle total do ambiente. Adicionalmente, o texto enfatiza falhas como a CVE-2026-44812, um problema de execução remota de código no Componente Gráfico do Windows (Win32K-GRFX) que abre caminho para a execução de códigos arbitrários em sistemas alvo.
Sim: confesso que toda vez que vou atualizar o sistema, me dá calafrios! &;-D