
Uma das vulnerabilidades exploradas, identificada como CVE-2026-56155, afecta o Active Directory Federation Services (AD FS) e pode ser utilizada para elevar privilégios locais até administrador. A segunda, CVE-2026-56164, afecta o SharePoint Server e permite a elevação de privilégios através da rede, sem necessidade de autenticação.
A Microsoft corrigiu também a vulnerabilidade CVE-2026-50661, que permite contornar mecanismos de proteção do BitLocker em cenários de acesso físico ao equipamento. A falha tinha sido divulgada publicamente antes da atualização de julho.
Segundo as notas de lançamento, o Windows recebeu correções para 416 vulnerabilidades, enquanto a suíte Microsoft Office foi alvo de atualizações para 164 falhas. Entre as vulnerabilidades consideradas mais críticas destacam-se uma falha no Windows VMSwitch, com classificação CVSS 9,9, e duas vulnerabilidades no SharePoint classificadas com CVSS 9,8.
As actualizações abrangem ainda produtos como Azure, Microsoft Defender, Exchange Server, Microsoft Edge e SQL Server, incluindo correções para vulnerabilidades de execução remota de código e de cross-site scripting.
O elevado número de vulnerabilidades corrigidas surge poucos dias depois de a Microsoft revelar que está a recorrer a inteligência artificial para acelerar a identificação de falhas de segurança. A empresa afirmou que utiliza o sistema Multi-model Agentic Scanning Harness (MDASH) para automatizar a deteção de vulnerabilidades na base de código do Windows, integrando este processo no desenvolvimento e validação do sistema operativo.
