A Microsoft corrigiu três vulnerabilidades zero-day perigosas e outras 200 falhas em seu software.

A Microsoft lançou sua atualização de junho na terça-feira de atualizações, corrigindo 200 vulnerabilidades, incluindo três vulnerabilidades zero-day divulgadas publicamente. De acordo com o BleepingComputer, não há evidências de que vulnerabilidades zero-day estejam sendo exploradas ativamente em ataques reais.

Fonte da imagem: xAI

Dos bugs corrigidos, 33 foram classificados como críticos. A maioria deles (28 instâncias) envolvia execução remota de código, o que representa um risco particular para a infraestrutura organizacional. As vulnerabilidades críticas restantes envolviam escalonamento de privilégios e divulgação de informações confidenciais. No geral, as estatísticas mostram uma predominância de problemas de escalonamento de privilégios (65 instâncias), seguidos por vulnerabilidades de execução remota de código (55 instâncias).

Foi dada atenção especial à vulnerabilidade CVE-2026-50507, que permite burlar a proteção de criptografia do BitLocker. Esse problema, conhecido como YellowKey, foi descoberto pelo pesquisador Nightmare Eclipse e permite que invasores acessem dados criptografados com acesso físico ao dispositivo. O ataque explora o Ambiente de Recuperação do Windows (WinRE) em sistemas protegidos apenas por um TPM. Para evitar tais incidentes, a Microsoft recomenda habilitar a autenticação adicional usando um PIN.

Outro problema significativo afeta o componente HTTP.sys, apelidado de Bomba HTTP/2. A vulnerabilidade permite um ataque de negação de serviço (DoS) por meio do envio de solicitações especialmente criadas que levam ao consumo descontrolado de memória. Para mitigar o risco, a Microsoft implementou uma nova configuração de registro, MaxHeadersCount, que limita o número de cabeçalhos em solicitações HTTP/2 e HTTP/3. Isso deve evitar o esgotamento dos recursos do servidor.

A terceira vulnerabilidade zero-day corrigida está relacionada ao Collaborative Translation Framework (CTFMON). O erro permitia que um usuário local autenticado elevasse seus privilégios.Os privilégios do sistema foram elevados devido ao tratamento inadequado de referências antes do acesso aos arquivos. Os detalhes da divulgação dessa vulnerabilidade não foram revelados, mas sua existência, como observado em um artigo do BleepingComputer, destaca a importância de instalar patches prontamente, mesmo para componentes que não interagem diretamente com a rede externa.

Além do patch de junho da Microsoft, diversas outras grandes empresas lançaram suas próprias atualizações de segurança. O Google corrigiu 124 vulnerabilidades no Android e uma falha ativamente explorada no navegador Chrome. Cisco, Check Point e Veeam também publicaram patches para bugs críticos, alguns dos quais já foram usados ​​em ataques de ransomware reais.