Patch Tuesday da Microsoft corrige zero-day ativo

A primeira ronda de atualizações de segurança de 2026 disponibilizada pela Microsoft, no âmbito do Patch Tuesday, corrigiu um total de 112 vulnerabilidades em Windows, Office e outros produtos, incluindo uma falha zero-day que estava a ser explorada ativamente.

A vulnerabilidade explorada é identificada como CVE-2026-20805 e foi classificada pela Microsoft como uma falha de divulgação de informação de gravidade importante no componente Desktop Windows Manager (DWM). De acordo com o fabricante, a exploração permite que um atacante autorizado divulgue informação sensível localmente.

Segundo o aviso de segurança da Microsoft, a vulnerabilidade pode levar à exposição de endereços de secções de memória associadas a uma porta ALPC remota em modo utilizador. Embora a falha tenha sido identificada por investigadores internos da própria Microsoft, a empresa não divulgou detalhes sobre os ataques em curso que exploraram o zero-day.

A equipa Zero Day Initiative (ZDI) da Trend Micro considera provável que a vulnerabilidade tenha sido utilizada em ataques direcionados, como parte de uma cadeia de exploração mais ampla. De acordo com Dustin Childs, investigador da ZDI, “isto mostra como as fugas de memória podem ser tão importantes como vulnerabilidades de execução de código, uma vez que tornam as RCE fiáveis”.

Além do zero-day, duas outras vulnerabilidades corrigidas neste mês tinham sido divulgadas publicamente antes da disponibilização dos patches. Trata-se da CVE-2026-21265, que permite contornar mecanismos de Secure Boot, e da CVE-2023-31096, associada a escalada de privilégios. A avaliação da Microsoft indica que apenas a segunda apresenta maior probabilidade de exploração ativa.

Entre as falhas corrigidas, oito vulnerabilidades em Windows e Office receberam uma classificação crítica. A maioria permite execução remota de código, enquanto outras possibilitam escalonamento de privilégios, aumentando o risco em ambientes empresariais não atualizados.

Para além do Windows e do Office, a Microsoft corrigiu ainda vulnerabilidades em serviços e plataformas como Azure e SharePoint. A empresa recomenda a aplicação imediata das atualizações, especialmente em sistemas expostos ou críticos, para reduzir o risco de exploração ativa destas falhas.