**Microsoft** lançou suas atualizações do **Patch Tuesday de Junho de 2026**, um lançamento crítico que aborda um total de 200 vulnerabilidades de segurança. Entre elas, 33 foram classificadas como "Críticas", incluindo 28 falhas de execução remota de código (RCE), quatro vulnerabilidades de elevação de privilégio (EoP) e uma falha de divulgação de informação. A atualização deste mês também aborda especificamente três vulnerabilidades zero-day divulgadas publicamente, nenhuma das quais se sabe que tenha sido explorada em ataques ativos até o momento. É importante notar que esta contagem cobre exclusivamente as vulnerabilidades corrigidas pela **Microsoft** hoje. Ela exclui correções para **Mariner**, **Azure HorizonDB**, **Microsoft Copilot**, **Copilot Chat**, **M365 Copilot**, **Microsoft Exchange Online** e **Microsoft Graph** que foram abordadas no início do mês. Adicionalmente, 360 falhas massivas do **Microsoft Edge**/**Chromium** corrigidas pela **Google** este mês também estão excluídas desta compilação específica. ## O Cenário Zero-Day Este **Patch Tuesday** destaca três vulnerabilidades zero-day divulgadas publicamente, sublinhando os desafios contínuos na segurança de software. A **Microsoft** define uma zero-day como uma falha que é divulgada publicamente ou ativamente explorada antes que uma correção oficial esteja disponível. ### Windows CTFMON: Um Caminho para Privilégios SYSTEM Uma zero-day significativa corrigida é uma vulnerabilidade no **Windows CTFMON** que poderia conceder privilégios SYSTEM a um atacante local. Descrita pela **Microsoft** como 'Resolução inadequada de link antes do acesso a arquivo ('seguimento de link') no **Windows Collaborative Translation Framework**', esta falha permite que um atacante autorizado eleve privilégios localmente. A vulnerabilidade foi creditada a um pesquisador anônimo, sem mais detalhes sobre sua divulgação fornecidos. ### HTTP/2 Bomb: Uma Nova Ameaça de DoS Outra correção crítica aborda uma falha de negação de serviço (DoS) no **HTTP/2** divulgada publicamente, apelidada de '**HTTP/2 Bomb**'. Esta vulnerabilidade, revelada por pesquisadores da empresa de segurança ofensiva **Calif** (especificamente Quang Luong e Codex), explora o consumo descontrolado de recursos no **HTTP/2** para permitir que um atacante não autorizado negue serviço em uma rede. Ataques com a '**HTTP/2 Bomb**' exploram como o protocolo **HTTP/2** comprime e gerencia cabeçalhos de tráfego web. Atacantes podem enviar dados mínimos para forçar servidores a alocar quantidades desproporcionalmente grandes de memória, potencialmente levando a problemas de desempenho ou interrupções completas. Para mitigar isso, a **Microsoft** introduziu uma nova configuração de registro `MaxHeadersCount`, que limita o número de cabeçalhos em uma requisição **HTTP/2** ou **HTTP/3**, juntamente com um boletim de suporte (KB5102602) detalhando sua implementação. ### Bypass do BitLocker: A Vulnerabilidade YellowKey A terceira zero-day aborda uma falha de bypass no **Windows BitLocker**, permitindo que atacantes locais obtenham acesso não autorizado a unidades criptografadas. Embora a **Microsoft** tenha atribuído esta correção a um pesquisador anônimo, ela foi identificada como a vulnerabilidade **YellowKey**, divulgada publicamente no mês passado pelo pesquisador de cibersegurança **Nightmare Eclipse**. A vulnerabilidade **YellowKey** poderia ser explorada colocando arquivos especialmente criados em uma unidade USB ou partição EFI e inicializando no **Windows Recovery Environment (WinRE)**. Manter a tecla CTRL pressionada durante este processo poderia acionar um shell de comando com acesso irrestrito a unidades protegidas pelo **BitLocker**. Esta falha afeta principalmente sistemas que usam proteção **TPM-only BitLocker** em dispositivos **Windows 11** e **Windows Server 2022/2025**. A **Microsoft** havia oferecido anteriormente mitigações temporárias, aconselhando os usuários a habilitar a autenticação **TPM+PIN** em vez de depender apenas da proteção TPM. **Nightmare Eclipse** é conhecido por divulgar publicamente uma série de vulnerabilidades zero-day do **Windows**, incluindo **BlueHammer**, **MiniPlasma**, **RedSun** e **UnDefend**. Essas divulgações são supostamente um protesto contra o manuseio da **Microsoft** de seus programas de recompensa por bugs e divulgação de vulnerabilidades. ## Além das Zero-Days: Vulnerabilidades Críticas Além das zero-days de alto perfil, este **Patch Tuesday** inclui correções para inúmeras outras vulnerabilidades críticas. As 28 falhas de execução remota de código são particularmente preocupantes, pois poderiam permitir que atacantes executassem código arbitrário em sistemas afetados remotamente, muitas vezes sem interação do usuário. Profissionais de segurança são instados a priorizar essas atualizações para prevenir potenciais comprometimentos de rede. ## Chamada para Ação Dada a amplitude e a gravidade das vulnerabilidades abordadas, profissionais de TI e usuários preocupados com a privacidade são fortemente aconselhados a aplicar estas atualizações do **Patch Tuesday de Junho de 2026** imediatamente. A aplicação oportuna de patches continua sendo a defesa mais eficaz contra a exploração por atores de ameaças.