As atualizações de segurança de maio de 2026 da **Microsoft** abordam 138 vulnerabilidades, sendo 30 classificadas como Críticas, 104 Importantes, três Moderadas e uma Baixa. Um número significativo, 61, são bugs de escalonamento de privilégios, seguidos por 32 falhas de execução remota de código. A atualização também incorpora um patch para uma vulnerabilidade da **AMD**, **CVE-2025-54518** (pontuação CVSS: 7.3), relacionada ao isolamento inadequado de recursos compartilhados em produtos baseados em Zen 2. Isso poderia permitir o escalonamento de privilégios. Esses patches são adicionais às 127 falhas de segurança abordadas pelo **Google** no **Chromium**, que é a base do navegador **Microsoft Edge**. ### Vulnerabilidade Crítica de DNS no Windows Uma das vulnerabilidades mais graves é a **CVE-2026-41096** (pontuação CVSS: 9.8), um buffer overflow baseado em heap no DNS do Windows. Um atacante poderia explorar essa falha enviando uma resposta DNS especialmente elaborada, levando à execução remota de código sem autenticação. "Um atacante poderia explorar essa vulnerabilidade enviando uma resposta DNS especialmente elaborada para um sistema Windows vulnerável, fazendo com que o DNS Client processe incorretamente a resposta e corrompa a memória", afirmou a **Microsoft**. "Em certas configurações, isso poderia permitir que o atacante executasse código remotamente no sistema afetado sem autenticação." ### Outras Vulnerabilidades Notáveis A **Microsoft** também abordou várias outras vulnerabilidades críticas e importantes, incluindo: * **CVE-2026-42826** (pontuação CVSS: 10.0) - Divulgação de informações no Azure DevOps. * **CVE-2026-33109** (pontuação CVSS: 9.9) - Controle de acesso inadequado no Azure Managed Instance para Apache Cassandra. * **CVE-2026-42898** (pontuação CVSS: 9.9) - Injeção de código no Microsoft Dynamics 365 (on-premises). * **CVE-2026-42823** (pontuação CVSS: 9.9) - Controle de acesso inadequado no Azure Logic Apps. * **CVE-2026-41089** (pontuação CVSS: 9.8) - Buffer overflow baseado em pilha no Windows Netlogon. * **CVE-2026-33823** (pontuação CVSS: 9.6) - Autorização inadequada no Microsoft Teams. * **CVE-2026-35428** (pontuação CVSS: 9.6) - Injeção de comando no Azure Cloud Shell. * **CVE-2026-40379** (pontuação CVSS: 9.3) - Exposição de informações no Azure Entra ID. * **CVE-2026-40402** (pontuação CVSS: 9.3) - Use-after-free no Windows Hyper-V. * **CVE-2026-41103** (pontuação CVSS: 9.1) - Autenticação incorreta no Microsoft SSO Plugin para Jira & Confluence. * **CVE-2026-33117** (pontuação CVSS: 9.1) - Autenticação inadequada no Azure SDK. * **CVE-2026-42833** (pontuação CVSS: 9.1) - Execução com privilégios desnecessários no Microsoft Dynamics 365 (on-premises). * **CVE-2026-33844** (pontuação CVSS: 9.0) - Validação de entrada inadequada no Azure Managed Instance para Apache Cassandra. * **CVE-2026-40361** (pontuação CVSS: 8.4) - Use-after-free no Microsoft Office Word. * **CVE-2026-40364** (pontuação CVSS: 8.4) - Confusão de tipo no Microsoft Office Word. Adam Barnett, da **Rapid7**, destacou a **CVE-2026-41103**, observando seu potencial para personificação não autorizada de usuários e bypass do Entra ID. Jack Bicer, da **Action1**, descreveu a **CVE-2026-42898** como crítica, permitindo que atacantes autenticados com baixos privilégios executassem código arbitrário via Dynamics CRM. Ele enfatizou o sério risco corporativo devido ao potencial comprometimento de registros de clientes, fluxos de trabalho e sistemas de negócios integrados. ### Lembrete de Atualização do Certificado de Secure Boot As organizações são lembradas de atualizar os certificados do Secure Boot do Windows para as versões de 2023 antes que os certificados de 2011 expirem no próximo mês. Essa mudança foi anunciada inicialmente em novembro de 2025. Rain Baker, da Nightwing, enfatizou a criticidade desta atualização, alertando sobre "falhas catastróficas de segurança em nível de boot" para dispositivos não atualizados até o prazo de 26 de junho de 2026. ### Mais de 500 CVEs em 2026 até Agora De acordo com Satnam Narang, da **Tenable**, a **Microsoft** já corrigiu mais de 500 CVEs nos primeiros cinco meses de 2026, destacando a crescente complexidade e o volume de vulnerabilidades em softwares modernos.