Erros, Notícias

Patch Tuesday de maio de 2026: sem vulnerabilidades zero-day, mas com muitas correções

por Pieter Arntz | 13 de maio de 2026
Logótipo da Microsoft

A atualização de segurança deste mês corrige 137 vulnerabilidades de segurança, incluindo 31 classificadas como críticas pela Microsoft, sem que se registem casos de exploração ativa de vulnerabilidades «zero-day» na rede.

A Microsoft define um «zero-day» como «uma falha no software para a qual ainda não está disponível qualquer correção oficial ou atualização de segurança». Este mês, a Microsoft não observou que nenhuma das vulnerabilidades identificadas tenha sido explorada em ambientes de produção.

No entanto, esta versão está longe de ser de baixo risco. Uma grande parte das falhas críticas permite a execução remota de código (RCE) em Windows , no Office, no Azure, no SharePoint e em componentes gráficos. Isso significa que os atacantes que induzirem um utilizador a abrir um documento malicioso ou o levem a ligar-se a um serviço malicioso poderão obter controlo total sobre o sistema.

Duas vulnerabilidades a priorizar

Dessa lista, selecionámos dois que parecem poder causar alguns problemas.

A primeira é a CVE-2026-40361, que tem uma pontuação CVSS de 8,4 em 10. É descrita como uma vulnerabilidade crítica do tipo «use-after-free» no Microsoft Word, que poderia permitir a um atacante executar código localmente no sistema afetado.

Use-after-free é uma classe de vulnerabilidade causada pelo uso incorreto da memória dinâmica durante a operação de um programa. Se, após liberar um local de memória, um programa não limpar o ponteiro para essa memória, um invasor poderá usar o erro para manipular o programa.

Assim, se um atacante convencer um utilizador a abrir um documento do Word malicioso, ou mesmo a visualizar o ficheiro, poderá executar código arbitrário com os privilégios do utilizador atual. Isso costuma ser suficiente para instalar malware, roubar credenciais ou deslocar-se lateralmente pela rede.

Em segundo lugar está a vulnerabilidade CVE-2026-35421 (pontuação CVSS de 7,8 em 10). Trata-se de um estouro de buffer crítico baseado na pilha (heap) na Interface Windows Dispositivos Windows (GDI). Um estouro de buffer ocorre quando uma área de memória dentro de uma aplicação de software atinge o limite do seu endereço e grava numa região de memória adjacente. A Microsoft observa:

«Para que esta vulnerabilidade seja explorada, um utilizador teria de abrir ou processar de alguma forma um ficheiro Enhanced Metafile (EMF) especialmente criado para o efeito, utilizando o Microsoft Paint. Esta ação é necessária para ativar a funcionalidade gráfica afetada no Windows .»

Proteção em tempo real. Sem esforço. 

Como aplicar correções e verificar se está protegido

Estas actualizações corrigem problemas de segurança e mantêm o seu PC Windows protegido. Eis como se certificar de que está atualizado:

1. Abrir Definições

  • Clique no botãoIniciar(o Windows no canto inferior esquerdo do ecrã).
  • Clique em Definições (parece uma pequena engrenagem).

2. Aceda ao Windows Update

  • Na janela Definições, selecione Windows Update (normalmente na parte inferior do menu à esquerda).

3.Verifique se há atualizações

  • Clique no botão que diz Verificar actualizações.
  • Windows procurar as últimas atualizações da Patch Tuesday.
  • Se tiver optado porreceber as atualizações mais recentes assim que estiverem disponíveis, poderá ver esta opção em«Mais opções».
  • Nesse caso, poderá ver um É necessário reiniciar mensagem. Reinicie o sistema e a atualização será concluída.
    Pode ser necessário reiniciar
  • Caso contrário, continue com os passos abaixo.

4.Transferir e instalarSe forem encontradas atualizações, estas começarão a ser transferidas automaticamente. Quando a transferência estiver concluída, aparecerá um botão com a indicação«Instalar»ou«Reiniciar agora».

  • Clique em Instalar , se necessário, e siga as instruções. Normalmente, o computador terá de ser reiniciado para concluir a atualização. Se isso acontecer, clique em Reiniciar agora.

5. Verificar se está atualizado

  • Depois de reiniciar, volte ao Windows Update e verifique novamente. Se disser Está atualizado, está tudo pronto!
Windows atualizado

Não nos limitamos a comunicar as ameaças - eliminamo-las

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.

Sobre o autor

Pieter Arntz

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.

ÚLTIMOS ARTIGOS

Notícias
Logótipo do JDownloader

Os atacantes substituíram os downloads do instalador do JDownloader por malware

maio 15, 2026

O site do JDownloader foi comprometido e os links de download do instalador distribuíram malware durante vários dias.

IA
Instagram entre o WhatsApp e Instagram

A nova e confusa abordagem da Meta em relação à privacidade nas conversas

maio 15, 2026

O WhatsApp oferece agora conversas com IA que desaparecem, que a Meta afirma não conseguir ler. Entretanto, Instagram remover a funcionalidade que impedia a Meta de ler as suas mensagens.

Privacy
Logótipo do Yahoo Mail

Por que é que Malwarebytes alguns redirecionamentos do Yahoo Mail

maio 14, 2026

Alguns utilizadores do Yahoo Mail poderão receber Malwarebytes repetidos Malwarebytes , causados por ligações em segundo plano a domínios de terceiros suspeitos. Eis o motivo.

Artigos relacionados

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes