A Microsoft publicou sua atualização mensal de segurança com correções para 206 vulnerabilidades em seu portfólio de software, o maior volume já registrado pela empresa em um único Patch Tuesday. O pacote inclui três falhas já divulgadas publicamente no momento da liberação das correções, além de vulnerabilidades críticas que podem permitir execução remota de código, elevação de privilégios, vazamento de informações e bypass de recursos de segurança.

Do total de falhas corrigidas, 39 foram classificadas como críticas e 167 como importantes. A lista inclui 63 vulnerabilidades de elevação de privilégio, 56 de execução remota de código, 30 de divulgação de informações, 27 de spoofing, 20 de bypass de recursos de segurança, sete de negação de serviço e três de adulteração.

O pacote também contempla dois CVEs que não são originalmente da Microsoft, mas impactam componentes usados no ecossistema Windows. Um deles é uma falha de elevação de privilégio no Windows Kernel, rastreada como CVE-2025-10263, e o outro é uma vulnerabilidade de bypass no UEFI Secure Boot, identificada como CVE-2026-8863. As correções chegam em paralelo a mais de 350 falhas de segurança corrigidas pelo Google no Chromium, base utilizada pelo navegador Microsoft Edge.

Entre as falhas mais graves está a CVE-2026-45657, com pontuação CVSS 9.8. Trata-se de uma vulnerabilidade do tipo use-after-free no Windows Kernel que pode resultar em execução remota de código. Segundo a Microsoft, um invasor poderia explorar a falha enviando tráfego de rede especialmente criado para um sistema Windows vulnerável. Se a exploração fosse bem-sucedida, pacotes maliciosos poderiam acionar um erro na forma como o kernel do Windows processa determinados dados TCP/IP, permitindo a execução de código com privilégios de sistema sem necessidade de login ou interação do usuário.

Outra vulnerabilidade crítica é a CVE-2026-47291, também com CVSS 9.8, causada por uma falha de integer overflow ou wraparound no Windows HTTP.sys. A brecha permite que um invasor não autenticado execute código remotamente pela rede. O HTTP.sys é um componente do Windows usado para processamento de tráfego HTTP em serviços e aplicações, o que torna falhas nesse recurso especialmente relevantes para servidores expostos ou ambientes corporativos com serviços dependentes dessa camada.

A Microsoft também corrigiu a CVE-2026-44815, com CVSS 9.8, uma vulnerabilidade de buffer overflow baseado em pilha no Windows DHCP Client. A falha permite execução remota de código por um invasor não autenticado por meio da rede. Alex Vovk, CEO e cofundador da Action1, destacou que a vulnerabilidade não exige credenciais nem ação do usuário e pode transformar tráfego de rede em comprometimento completo do sistema. Segundo ele, um invasor poderia enviar tráfego especialmente criado para um sistema configurado para serviços DHCP.

Vovk afirmou ainda que a exploração bem-sucedida poderia permitir execução de código não autorizado pela rede, com alto impacto sobre confidencialidade, integridade e disponibilidade. Como o DHCP é uma função essencial em redes corporativas, a vulnerabilidade representa risco elevado para servidores e ambientes que processam esse tipo de tráfego. Entre os possíveis impactos estão comprometimento de servidores, implantação de malware, roubo de dados, interrupção de serviços e movimentação lateral dentro da rede. Sistemas que lidam com tráfego DHCP devem ser tratados como prioridade no processo de correção.

O pacote também resolve a CVE-2026-45585, com CVSS 6.8, uma falha de bypass de recurso de segurança no Windows BitLocker. A vulnerabilidade ganhou relevância porque um exploit de prova de conceito chamado YellowKey foi divulgado no mês passado pelo pesquisador Chaotic Eclipse, também conhecido como Nightmare-Eclipse.

A CVE-2026-45585 faz parte de um conjunto de falhas de bypass relacionadas ao BitLocker corrigidas neste mês pela Microsoft. A lista inclui ainda as vulnerabilidades CVE-2026-45655, com CVSS 5.3, CVE-2026-45658, com CVSS 7.8, e CVE-2026-50507, com CVSS 6.8. Nos alertas, a Microsoft informou que um invasor bem-sucedido poderia contornar o recurso BitLocker Device Encryption no dispositivo de armazenamento do sistema. Para exploração, seria necessário acesso físico ao alvo, permitindo acesso a dados criptografados.

De acordo com o pesquisador Will Dormann, a CVE-2026-50507 parece corrigir um bypass do BitLocker conhecido como bitskrieg, capaz de conceder acesso completo a dados criptografados. A falha está entre as três vulnerabilidades listadas como zero-days divulgadas publicamente neste ciclo, ao lado da CVE-2026-49160 e da CVE-2026-45586.

A CVE-2026-45586, com CVSS 7.8, afeta o Windows Collaborative Translation Framework, associado ao processo CTFMON, e permite elevação de privilégios. A falha é suspeita de corrigir um exploit zero-day divulgado por Chaotic Eclipse sob o nome GreenPlasma, que possibilitaria aumento de privilégios no sistema.

Já a CVE-2026-49160, com CVSS 7.5, é uma vulnerabilidade de negação de serviço no HTTP.sys. Ela está relacionada à técnica de ataque HTTP2/Bomb, capaz de tirar servidores web do ar em poucos segundos. Em testes conduzidos pela Calif, um servidor IIS esgotou 64 GB de memória RAM em cerca de 45 segundos. Para mitigar esse tipo de ataque, a Microsoft introduziu uma nova configuração de registro chamada MaxHeadersCount, que limita o número de cabeçalhos em requisições HTTP/2 e HTTP/3.

Segundo a Microsoft, limitar cabeçalhos HTTP pode ajudar a proteger sistemas e servidores contra uso excessivo de memória, alto consumo de CPU e ataques de negação de serviço. Como HTTP/2 e HTTP/3 utilizam compressão de cabeçalhos, respectivamente por HPACK e QPACK, além de processamento de protocolo mais complexo, a imposição de limites por meio do MaxHeadersCount pode ajudar a manter desempenho e confiabilidade.

A atualização de junho de 2026 também corrige uma vulnerabilidade conhecida como MiniPlasma, divulgada por Chaotic Eclipse como uma correção incompleta para a CVE-2020-17103, originalmente tratada pela Microsoft em dezembro de 2020. Em atualização ao seu aviso, a empresa recomendou a instalação dos patches de junho de 2026 para resolver de forma abrangente a vulnerabilidade associada à CVE-2020-17103 e recentemente chamada publicamente de MiniPlasma.

O volume recorde de correções reacende o debate sobre o impacto da inteligência artificial na descoberta de vulnerabilidades. Especialistas atribuem o crescimento no número de falhas identificadas ao uso cada vez maior de abordagens assistidas por IA em pesquisa de segurança, tendência que, segundo a própria Microsoft, deve continuar no futuro próximo.

Satnam Narang, engenheiro sênior de pesquisa da Tenable, afirmou que a “caixa de Pandora” foi aberta e que, à medida que modelos de IA mais avançados se tornam disponíveis, a tendência é de aumento contínuo no volume de vulnerabilidades reportadas, não apenas no Patch Tuesday.

Dustin Childs, chefe de conscientização de ameaças da TrendAI Zero Day Initiative, descreveu o conjunto massivo de vulnerabilidades da Microsoft como um sinal de como a IA está acelerando a descoberta de falhas em uma escala difícil de controlar. Segundo ele, o número atual de CVEs publicados pela Microsoft neste ano já supera o total de CVEs enviados em todo o ano de 2018. Childs também observou que, embora seja extraordinário a Microsoft produzir tantas correções em um único mês, muitos profissionais de teste podem estar se perguntando quais problemas de qualidade podem existir em um pacote desse tamanho.

As correções chegam no mesmo momento em que Chaotic Eclipse divulgou uma prova de conceito para outro zero-day no Microsoft Defender, chamado RoguePlanet. Segundo a descrição do pesquisador, trata-se de uma condição de corrida que poderia ser usada para abrir um prompt de comando do Windows com privilégios SYSTEM.