A Microsoft publicou ontem, 12 de maio de 2026, as atualizações de segurança do Patch Tuesday de maio, que corrigem 120 vulnerabilidades. A empresa informou que o lote inclui 17 falhas classificadas como “Críticas”, sendo 14 de execução remota de código, duas de elevação de privilégio e uma de divulgação não autorizada de informações.
Entre as 120 falhas corrigidas, 61 são de elevação de privilégio, 31 de execução remota de código, 14 de divulgação de informações, 13 de falsificação (spoofing), oito de negação de serviço e seis de bypass de recurso de segurança, segundo a contagem publicada pelo comunicado técnico da empresa.
Vulnerabilidades críticas e vetores de ataque
A Microsoft destacou que a falha CVE-2026-35421 no GDI do Windows pode ser explorada pela abertura de um arquivo EMF malicioso usando o Microsoft Paint. Conforme a empresa, outra falha crítica é a CVE-2026-40365, que permite a um atacante autenticado executar código remotamente em um servidor SharePoint por meio de ataque baseado em rede.
Sobre o cliente DNS do Windows, a empresa afirmou que a vulnerabilidade CVE-2026-41096 possibilita que um servidor DNS controlado por atacante envie uma resposta especialmente criada, corrompendo a memória e permitindo a execução remota de código. A Microsoft também corrigiu múltiplas falhas no Microsoft Office, Word e Excel que podem ser exploradas pela abertura de arquivos maliciosos, inclusive pelo painel de visualização.
