Quinhentas e setenta correções numa única terça-feira

O Microsoft Security Response Center publicou a atualização de julho na terça-feira, 14 de julho, e a lista não terminou onde alguém esperava. A Microsoft corrigiu 570 vulnerabilidades numa única entrega. O recorde anterior, fixado seis semanas antes em junho, era de 206. Cinquenta e nove das falhas de julho estão classificadas como críticas e 48 delas permitem a execução remota de código. A repartição completa chega a 254 falhas de elevação de privilégios, 145 de execução remota de código, 102 de divulgação de informação, 35 de negação de serviço, 17 contornos de funções de segurança e 16 falhas de falsificação. O total não inclui as falhas do Chromium que o Edge herda.

Porque importa. Uma janela mensal de correções é uma quantidade fixa de horas de trabalho. O número de entradas que tem de passar por ela quase triplicou, e o fornecedor deixou por escrito que isto não é um pico isolado. Qualquer processo que assuma que um administrador consegue ler a lista, pesar cada entrada e decidir partiu-se na terça-feira.

Duas já são usadas contra o ADFS e o SharePoint

Três das 570 são falhas de dia zero e duas delas estão sob ataque ativo. A CVE-2026-56155 é uma falha de elevação de privilégios no Active Directory Federation Services, em que um controlo de acesso pouco granular permite a um atacante autorizado subir os seus privilégios localmente. A CVE-2026-56164 é uma falha de elevação de privilégios no SharePoint Server, em que a ausência de verificação de autenticação numa função crítica permite a um atacante não autenticado subir privilégios através da rede. A terceira, CVE-2026-50661, é um contorno da função de segurança do BitLocker já divulgado publicamente.

Nenhuma das duas falhas exploradas é exótica, e é precisamente esse o ponto. O Active Directory Federation Services é a máquina que emite os seus testemunhos de federação. No SharePoint estão os seus contratos, os documentos do conselho e as listas de clientes. Quem sobe privilégios num deles não precisa de um segundo exploit para chegar ao resto. Se opera algum nas suas instalações, são as duas únicas entradas da lista de julho que exigem uma decisão hoje. O CNCS costuma emitir aviso próprio quando uma falha deste tipo já está a ser explorada.

O contorno do BitLocker ataca uma defesa jurídica, não um portátil

A CVE-2026-50661 permite a um atacante com acesso físico chegar aos dados de um volume cifrado. Lida como problema de engenharia, é uma falha do equipamento que exige ter a máquina em mãos. Lida como problema europeu de conformidade, é outra coisa. O artigo 34.º do RGPD determina que o responsável pelo tratamento não tem de comunicar a violação aos titulares quando os dados expostos foram tornados incompreensíveis para quem não está autorizado, e a cifragem integral do disco é a razão pela qual a maioria dos portáteis perdidos ou roubados nunca chega a ser um incidente sujeito a notificação.

A consequência. Esse raciocínio aguenta enquanto a cifragem aguentar. Um contorno publicado torna-o discutível, e o argumento passa a ter um número de CVE que qualquer autoridade de controlo pode consultar. O prazo de 72 horas do artigo 33.º não pára enquanto define a sua posição. Quem apresenta o BitLocker como a resposta a um equipamento perdido deve ter esta correção no parque antes de desaparecer o próximo portátil, e deve conseguir provar a data.

A Microsoft diz que a enxurrada é o novo ponto de partida

O salto não vem de um mau mês de código. A 9 de julho, cinco dias antes da entrega, a Microsoft publicou no Windows Experience Blog um texto a explicar que passou por toda a base de código do Windows um sistema de inteligência artificial chamado MDASH, o seu conjunto de análise agêntica com vários modelos. O MDASH percorre binários críticos e valida o que encontra com vários modelos. A primeira colheita pública, em maio, deu 16 CVE até então desconhecidos, quatro deles falhas críticas de execução remota de código em componentes centrais como a pilha TCP/IP do núcleo, o serviço IKEv2, o Netlogon e a biblioteca da API de DNS. A Microsoft disse aos clientes sem rodeios que contassem com um volume mais alto de atualizações de segurança em cada entrega.

Isto não se limita a um fornecedor. O Chrome 150 saiu com 433 correções de segurança. A Adobe passou a duas entregas por mês e a Mozilla a um ritmo de duas semanas. O setor mecanizou a descoberta das próprias falhas e mantém o ritmo a entregá-las. A sua capacidade de as absorver não se mexeu um milímetro.

Mude a métrica antes de mudar o calendário

O instinto é pedir mais horas para aplicar correções. É a alavanca errada, porque a entrada deixou de ter teto. A resposta viável passa por deixar de tratar a lista de CVE como uma fila a esvaziar e começar a tratá-la como um sinal a filtrar. Dois filtros fazem quase todo o trabalho: a falha está a ser explorada, e o sistema afetado é alcançável a partir do exterior. Três das 570 falhas passaram o primeiro filtro este mês. Essa é uma lista que uma pessoa consegue mesmo ler.

A conclusão. A métrica do conselho tem de acompanhar. Uma percentagem de cobertura de correções mede hoje o scanner da Microsoft e não as suas defesas, e vai parecer pior a cada mês enquanto significa menos. Comunique antes o tempo que demorou a corrigir as falhas exploradas e as expostas à internet. Esse número é seu, é pequeno o suficiente para ser defendido e é o único que interessa a um atacante.