Breaking news and updates from the world of technology.
O Patch Tuesday de junho de 2026 da Microsoft e o maior da historia de atualizacoes mensais da empresa: 200 vulnerabilidades corrigidas, 38 criticas e seis zero-days — tres com codigo de exploit ja publico.
Google e Mandiant confirmam que o grupo atacou mais de 100 organizações — principalmente universidades americanas — com uma falha de execução remota de código não autenticada para a qual ainda não há patch disponível.
CVE-2026-35273 é uma falha de execução remota de código não autenticada com CVSS 9.8 que o ShinyHunters está explorando ativamente. A Universidade de Nottingham confirmou uma violação.
CVE-2026-11645 é um acesso a memória fora dos limites no motor V8 do Chrome que permite execução remota de código. Atualize para o Chrome 149.0.7827.102 agora.
A Microsoft lançou a maior atualização Patch Tuesday de sua história, corrigindo 208 vulnerabilidades incluindo uma falha wormable no kernel com CVSS 9.8 — e um pesquisador publicou no mesmo dia um exploit inédito para o Windows Defender.
O worm de cadeia de suprimentos autorreplicante Miasma comprometeu 73 repositórios em organizações do GitHub da Microsoft em 5 de junho, usando arquivos de configuração maliciosos projetados para roubar credenciais de desenvolvedores quando eles abrem os repositórios afetados em ferramentas de codificação com IA, incluindo Claude Code, Cursor e Gemini CLI. O GitHub desativou todos os repositórios comprometidos em 105 segundos após detectar o commit malicioso.
Uma falha crítica de bypass de autenticação nos produtos Remote Access VPN da Check Point está sendo ativamente explorada por afiliados do grupo de ransomware Qilin. A CISA adicionou CVE-2026-50751 ao seu catálogo de vulnerabilidades exploradas conhecidas (KEV) em 8 de junho e ordenou que agências federais dos EUA apliquem hotfixes até 11 de junho.
Um estudo da Booz Allen Hamilton com 2.800 testes de geração de código descobriu que três dos quatro modelos chineses de IA produziram uma quantidade mensuravelmente maior de código vulnerável quando os prompts identificavam o usuário como funcionário do governo dos EUA. O Qwen3-Coder gerou 130% mais falhas. A empresa recomenda um bloqueio padrão de modelos chineses de IA para uso governamental e infraestrutura crítica.
Atacantes ligados ao Lapsus$ executaram um ataque à cadeia de suprimentos em três saltos: primeiro comprometeram o Trivy (um escâner de vulnerabilidades open source), extraíram credenciais de CI/CD do pipeline de build do LiteLLM, e então publicaram as versões maliciosas 1.82.7 e 1.82.8 do LiteLLM no PyPI. Qualquer sistema de IA que baixasse essas versões executava código controlado pelos atacantes — e a Mercor, uma prestadora de serviços de treinamento de IA avaliada em US$ 10 bilhões que atende OpenAI, Anthropic, Meta e Google, foi uma das vítimas. O resultado: 939 GB de código-fonte da plataforma, 211 GB de dados de usuários e aproximadamente 3 TB de cópias de passaportes, registros de SSN e vídeos de entrevistas biométricas de prestadores estão agora listados para leilão na dark web.
CISA adicionou CVE-2026-28318 ao seu catálogo de vulnerabilidades conhecidas exploradas: uma falha de consumo descontrolado de recursos no SolarWinds Serv-U que permite que atacantes não autenticados derrubem o serviço com uma única solicitação HTTP POST manipulada. Agências federais devem atualizar para Serv-U 15.5.4 Hotfix 1 até 19 de junho de 2026. Organizações empresariais e governamentais fora desse mandato federal devem tratar isso com a mesma urgência.
Uma falha no sistema High Touch Support da Meta — uma ferramenta assistida por IA criada para ajudar usuários a recuperar o acesso às contas — permitiu que invasores redefinissem senhas de contas que não eram deles, explorando a ferramenta com prompt injection.
O notório grupo de extorsão ShinyHunters publicou todo o espólio de 234 GB roubado da administradora de benefícios odontológicos DentaQuest depois que a empresa se recusou a pagar o resgate exigido. Os arquivos vazados contêm nomes, endereços, documentos de identidade emitidos pelo governo, números do Medicaid e detalhes de planos de saúde para cerca de 2,6 milhões de pessoas.