A Microsoft fechou o mês de junho com o que pode ser seu maior pacote de atualizações de segurança do ano: o Patch Tuesday trouxe 206 correções de uma só vez, cobrindo o Windows e vários outros produtos da empresa. O número chama atenção não só pelo volume, mas pela natureza do que foi tapado — são dezenas de brechas capazes de dar a um invasor controle quase total de uma máquina.
Do total, 39 falhas foram classificadas como críticas, a categoria mais grave. A maior fatia (63) é de escalada de privilégios, em que um programa malicioso ganha permissões que não deveria ter; em seguida vêm 56 de execução remota de código, 30 de vazamento de informações e outras dezenas espalhadas entre spoofing, bypass de segurança e negação de serviço. Três delas se destacam por terem nota máxima de risco (9,8 de 10): uma no kernel do Windows via TCP/IP, outra no componente HTTP.sys e uma terceira no cliente DHCP.
O ponto mais delicado, porém, são as três falhas zero-day — vulnerabilidades que já tinham sido divulgadas publicamente antes de existir correção, o que aumenta a janela de exposição. Entre elas, uma permite escalar privilégios pelo CTFMON e outra, ligada ao HTTP.sys, poderia derrubar servidores web em cerca de 45 segundos. Há ainda um trio de brechas no BitLocker, embora essas exijam acesso físico ao aparelho para serem exploradas, o que reduz bastante o risco no dia a dia.
Para o usuário brasileiro, a lição é a de sempre, mas vale repetir: um pacote desse tamanho só protege quem instala. A recomendação é deixar o Windows Update ligado e aplicar a atualização o quanto antes — boa parte dos ataques reais explora exatamente máquinas que demoram semanas (ou meses) para receber patches já disponíveis. Em ambientes corporativos, onde o reinício costuma ser adiado, o conselho é tratar as correções críticas e os zero-days como prioridade imediata.
