Microsoft corrige 167 falhas críticas no Patch Tuesday de abril de 2026

Microsoft corrige recorde de 167 vulnerabilidades no Patch Tuesday de abril de 2026

A Microsoft lançou nesta terça-feira (15) atualizações críticas para corrigir 167 vulnerabilidades em seus sistemas operacionais Windows e softwares relacionados. Entre as falhas corrigidas estão um zero-day no SharePoint Server e uma vulnerabilidade pública no Windows Defender, apelidada de "BlueHammer".

Além disso, o Google Chrome corrigiu seu quarto zero-day de 2026, enquanto o Adobe Reader recebeu uma atualização emergencial para eliminar uma falha que permitia execução remota de código. A empresa alerta que invasores já estão explorando ativamente a vulnerabilidade CVE-2026-32201, no SharePoint Server, que possibilita a falsificação de conteúdo ou interfaces confiáveis em redes corporativas.

Risco elevado com SharePoint Server zero-day

Mike Walters, presidente e cofundador da Action1, destacou que a CVE-2026-32201 pode ser usada para enganar funcionários, parceiros ou clientes, apresentando informações falsificadas em ambientes SharePoint confiáveis. "Essa vulnerabilidade pode facilitar ataques de phishing, manipulação não autorizada de dados ou campanhas de engenharia social que levam a comprometimentos adicionais", afirmou Walters. "A exploração ativa aumenta significativamente o risco para as organizações."

BlueHammer: falha crítica no Windows Defender

A Microsoft também corrigiu o BlueHammer (CVE-2026-33825), uma vulnerabilidade de escalonamento de privilégios no Windows Defender. Segundo a BleepingComputer, o pesquisador que descobriu a falha publicou código de exploração após insatisfação com a resposta da Microsoft. Will Dormann, analista sênior de vulnerabilidades da Tharros, confirmou que o código de exploração público do BlueHammer deixou de funcionar após a aplicação dos patches.

Adobe Reader e exploração ativa desde 2025

Satnam Narang, engenheiro pesquisador sênior da Tenable, classificou o Patch Tuesday de abril como o segundo maior da história da Microsoft. Ele também revelou que há indícios de que uma vulnerabilidade zero-day corrigida pela Adobe em 11 de abril (CVE-2026-34621) já era explorada desde novembro de 2025.

Adam Barnett, engenheiro líder de software da Rapid7, chamou o total de patches da Microsoft de "um novo recorde", incluindo quase 60 vulnerabilidades em navegadores. Barnett sugeriu que o aumento no volume de falhas pode estar relacionado ao avanço das capacidades de IA, como o recente anúncio do Project Glasswing, da Anthropic, que promete identificar bugs em diversos softwares.

"Uma conclusão segura é que esse aumento no volume de vulnerabilidades é impulsionado pelas capacidades cada vez maiores de IA. Devemos esperar um crescimento contínuo no número de relatos de vulnerabilidades à medida que os modelos de IA se tornam mais capazes e acessíveis."

Atualize seu navegador agora

Independentemente do navegador que você utiliza, é fundamental fechar e reiniciar a aplicação periodicamente para garantir que todas as atualizações sejam instaladas. Por exemplo, uma atualização do Google Chrome lançada no início deste mês corrigiu 21 vulnerabilidades, incluindo o zero-day de alta gravidade CVE-2026-5281.

Para um detalhamento completo das correções, consulte o SANS Internet Storm Center Patch Tuesday roundup. Enfrentando problemas para aplicar as atualizações?