O update KB5094127 traz ajustes de segurança, corrige 200 falhas, inclusive três zero-day, e melhora o Secure Boot, mas pode acionar a recuperação do BitLocker em alguns PCs.

A empresa lançou atualizações para sanar a falha CVE-2026-44963, que pode permitir execução remota de código em servidores de backup ligados a domínio. Não há indícios de abuso ativo.

Pesquisadores encontraram seis falhas no protobuf.js que podem causar execução remota de código e DoS; versões vulneráveis já têm patch, e a recomendação é atualizar para evitar abuso em CI/CD e cloud.

O modelo chega ao público com filtros de segurança, enquanto a versão Mythos 5 fica restrita a defensores verificados, pois identifica e explora falhas com alto potencial ofensivo.

A empresa aplicou atualização após invasores explorarem um endpoint vulnerável, acessando dados de instâncias de clientes; admins devem revisar logs, rotacionar credenciais e checar registros expostos.

Simulações da Varonis com o OpenClaw mostraram que agentes podem vazar credenciais e dados por falta de verificação de identidade, embora detectem links e apps maliciosos.

Pacote de junho traz correções para NetWeaver e Commerce Cloud, com brechas que podem burlar autenticação, corromper memória e abrir acesso indevido em sistemas corporativos.

Programas de recompensa por bugs enfrentam mais descobertas e exploits gerados por IA, elevando pagamentos, pressionando patches rápidos e reduzindo a janela de divulgação responsável.

Protótipo no University of Toronto se replica sozinho em rede e explora falhas recém-divulgadas, mostrando que patches pontuais não bastam quando o código adapta ataques em tempo real.

A brecha permitia a invasores autenticados acessar repositórios privados, roubar credenciais e adulterar código. A versão 0.14.3 já foi liberada; usuários devem atualizar ou limitar registros.

A empresa disse ter barrado tentativas de spear-phishing ligadas à NSO Group e pediu à Justiça dos EUA punição por violar decisão que proibia atacar usuários do app.

Hackers comprometeram 19 pacotes no PyPI, com malware que rouba segredos de desenvolvedores, usa GitHub para exfiltrar dados roubados e pode ser acionado ao iniciar Python, segundo a Socket.

A empresa corrigiu o CVE-2026-50751 , explorado em ataques zero-day, que permite burlar autenticação em conexões remotas; o Qilin foi ligado a um dos casos e há uma segunda falha em análise.

Usando só JavaScript e o tempo de resposta do disco, um site malicioso identifica páginas e apps abertos, sem código nativo nem permissão; a falha afeta Chrome, Safari e Firefox.

Campanha amplia o roubo em cadeias de suprimento com 37 artefatos maliciosos em 19 pacotes, instala Bun e um JavaScript ofuscado para furtar segredos, chaves e credenciais de desenvolvedores.

O governo francês investiga invasão ao app Tchap após o uso de uma conta comprometida; o caso pode ter exposto conversas, 13,5 GB de arquivos e metadados de dezenas de milhares de contas.

A fintech confirmou acesso indevido a uma base de dados de fornecedor e alerta clientes para phishing, monitoramento de contas e troca de senhas, enquanto apura quais dados ficaram expostos.

Nova campanha usa GitHub e phishing para distribuir malware Android que rouba dados de cartões via NFC, mira bancos europeus e dificulta análise com APKs adulterados.

Pesquisadores mostraram que três CVE já corrigidas podem ser encadeadas para executar comandos remotos como root, sem autenticação, afetando versões 5.0.6 e anteriores.

atacantes exploram o bug CVE-2026-3300 para executar código e tomar sites WordPress. A exploração já soma mais de 29 mil tentativas bloqueadas, com criação de contas administrativas falsas.