A tradição do Patch Tuesday já tem mais de vinte anos, mas a mais recente actualização mensal de segurança da Microsoft atingiu proporções inéditas. A empresa disponibilizou um pacote de correcções para o Windows, Office e outros produtos, resolvendo um número recorde de duzentos bugs individuais. Trinta e três destas vulnerabilidades são consideradas críticas e podiam trazer consequências graves para os clientes da empresa.
Uma montanha de problemas resolvidos
As actualizações de Junho resolvem um leque muito variado de problemas de segurança. Entre as categorias mais comuns, destacam-se:
- Sessenta e cinco vulnerabilidades de elevação de privilégios, que permitem a um atacante ganhar controlo indevido sobre o sistema operativo.
- Cinquenta e cinco falhas de execução remota de código, que dão a possibilidade a terceiros de correr software malicioso à distância sem o conhecimento da vítima.
- Trinta problemas de divulgação de informações sensíveis, que expõem dados privados dos utilizadores a entidades não autorizadas.
É importante notar que este lançamento não inclui as falhas descobertas no Edge, uma vez que o browser baseado em Chromium viu trezentos e sessenta problemas resolvidos apenas neste mês, num processo de actualização totalmente separado.
Falhas zero-day e a polémica com investigadores
O pacote de segurança também resolveu cinco vulnerabilidades “zero-day”, ou seja, falhas tornadas públicas que já estavam a ser exploradas activamente por cibercriminosos. Entre estas, encontram-se problemas de elevação de privilégios, negação de serviço no Http.sys e falsificação de servidor no Microsoft Exchange.
Uma das correcções (CVE-2026-45586) visa uma vulnerabilidade conhecida como GreenPlasma. Esta falha foi descoberta por um investigador de segurança conhecido como Nightmare-Eclipse, que tem estado em disputa com a Microsoft devido a alegadas tentativas de prejudicar a sua reputação.
O Patch Tuesday deste mês resolve ainda outro problema descoberto pelo mesmo investigador, apelidado de “YellowKey”, que consistia numa tentativa de introduzir uma porta traseira oculta na funcionalidade de encriptação BitLocker. A questão deve estar agora totalmente resolvida, embora a Microsoft não tenha reconhecido publicamente a contribuição do investigador.
O impacto da inteligência artificial na segurança
O investigador lançou recentemente outro exploit chamado “RoguePlanet”, cujo código de prova de conceito pode ser abusado para abrir uma linha de comandos com privilégios máximos de sistema. Resta saber se a Microsoft vai resolver o problema de forma silenciosa.
Os especialistas alertam que o número de falhas de software resolvidas através de programas periódicos de correcção vai continuar a aumentar. A Microsoft sublinhou que tanto os profissionais de segurança como os piratas informáticos estão a utilizar modelos avançados de IA para descobrir novas vulnerabilidades. O resultado é uma superfície de ataque em rápida expansão, o que vai obrigar as empresas de software a passar cada vez mais tempo a corrigir problemas detectados através de métodos de descoberta automatizados.
