Este mês foram corrigidas cerca de 120 vulnerabilidades, sem nenhum zero-day divulgado. É a primeira vez, em quase dois anos, que o Patch Tuesday não inclui correções para falhas zero-day em exploração ativa.

Vulnerabilidades em destaque:

CVE-2026-41089 — Windows Netlogon (CVSS 9.8) — Qualquer administrador responsável por proteger um controlador de domínio deve priorizar esta correção. Trata-se de um buffer overflow crítico no Netlogon que concede ao atacante privilégios de SYSTEM no controlador de domínio, sem necessitar de autenticação ou interação do utilizador.

CVE-2026-41096 — Windows DNS Client (RCE crítico) — Um servidor DNS controlado por um atacante pode enviar respostas especialmente criadas que corrompem memória no serviço DNS Client, podendo levar a execução remota de código. A Microsoft classifica a exploração como menos provável, embora mitigações como randomização de heap possam limitar a fiabilidade de exploits.

CVE-2026-41103 — SSO Plugin para Jira & Confluence (CVSS 9.1) — Permite que um atacante não autorizado se autentique com uma identidade forjada, contornando o Microsoft Entra ID. A Microsoft considera que a exploração é mais provável.

CVE-2026-42898 — Microsoft Dynamics 365 on-premises (CVSS 9.9) — Falha de injeção de código que não requer interação do utilizador para ser explorada. Ataques bem-sucedidos podem expor dados empresariais sensíveis e comprometer sistemas ligados ao Dynamics.

CVE-2026-35421 — Windows GDI (RCE crítico) — Vulnerabilidade de heap buffer overflow no componente gráfico do Windows. Para ser explorada, o utilizador precisa de abrir um ficheiro EMF malicioso com o Microsoft Paint.

CVE-2026-40365 — Microsoft SharePoint Server (RCE) — Um atacante autenticado pode lançar um ataque pela rede que executa código remotamente num servidor SharePoint vulnerável.

Solução

Foram lançadas as atualizações cumulativas KB5089549 e KB5087420 para Windows 11 versões 25H2, 24H2 e 23H2, que incluem as correções de segurança e melhorias de estabilidade deste mês

Referências

• Blogue da Microsoft: http://microsoft.com/en-us/msrc/blog/2026/05

• Mais informações técnicas da bleepingcomputer: https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2026-patch-tuesday-fixes-120-flaws-no-zero-days/