Nesta última terça-feira de atualizações de maio, a Microsoft lançou pacotes que corrigiram 120 vulnerabilidades de segurança. Além do Windows e do Office, os serviços em nuvem da Microsoft também foram afetados.
Até o momento, nenhuma das vulnerabilidades estava sendo explorada na prática. E isso é surpreendente, visto que a empresa classificou um total de 30 vulnerabilidades de segurança como críticas, enquanto as demais foram classificadas como de alto risco.
É um número excepcionalmente alto de falhas corrigidas para uma terça-feira de atualizações. O que pode ser explicado pelo fato de a competição de hackers Pwn2Own começar em Berlim no dia 14 de maio (hoje), motivando o time do Windows a corrigir o máximo possível para evitar qualquer atenção negativa indesejada.
A próxima terça-feira de atualizações está agendada para 9 de junho de 2026.
Notícias Relacionadas:
- Modo Xbox do Windows 11 traz problemas para quem tem mais de um monitor
- Xbox segue caminho diferente do PlayStation com o Project Green Leaf para portáteis Windows
- Project Helix não deve ter leitor de disco, mas não vai descartar mídias físicas antigas
Janelas Fechadas
Um grande número das vulnerabilidades, especificamente, 66, está distribuído entre as várias versões do Windows (10, 11, Server). Vale reforçar que o suporte para o Windows 10 terminou em outubro de 2025, mas os usuários inscritos no programa Extended Security Updates continuam recebendo atualizações.
Cinco das vulnerabilidades do Windows corrigidas neste mês são vulnerabilidades de execução remota de código (RCE) classificadas como críticas. A CVE-2026-41096 no cliente DNS é especialmente problemática porque é executada em praticamente todas as máquinas Windows.
Para explorar essa vulnerabilidade, basta uma resposta maliciosa a uma consulta DNS. E um invasor que controla um servidor DNS, por exemplo, pode executar código arbitrário em qualquer PC.
Há também a CVE-2026-41089 no Windows Netlogon, na qual um invasor pode executar código em um controlador de domínio sem fazer login, enviando solicitações de rede especialmente criadas.
Office e Edge mais seguros
Do total das vulnerabilidade, 27 eram na família de produtos Office, quase o dobro do número corrigido em abril.
Entre elas, 15 eram falhas de execução remota de código (RCE), oito das quais foram classificadas como críticas. Nesses casos, o próprio painel de visualização é um vetor de ataque. Um usuário nem precisa abrir completamente um arquivo infectado com o Office para que o ataque seja bem-sucedido.
A Microsoft também classifica um vazamento de dados em seu Portal de Eventos do Teams (CVE-2026-33823) como crítico, e a fabricante já corrigiu essa vulnerabilidade. Dois vazamentos de dados no Microsoft 365 Copilot (CVE-2026-26129 e CVE-2026-26164) também são considerados críticos.
No caso do Edge, a atualização de segurança mais recente para o navegador é de 7 de maio e baseada no Chromium 148.0.7778.97. Ela corrige 127 vulnerabilidades de segurança baseadas no Chromium, que não estão incluídas no número total de correções da Patch Tuesday mencionadas anteriormente.
Além disso, a atualização corrige três vulnerabilidades específicas do Edge, bem como duas vulnerabilidades no Edge para Android.
