Combinação de HPACK compression bomb e abuso do flow control do HTTP/2 permite que um único cliente esgote toda a memória disponível do servidor sem autenticação e sem interação do usuário. O atacante satura a tabela de compressão com um header grande, depois envia milhares de referências de um byte que forçam alocações massivas (70–4.000 bytes por referência dependendo do servidor), enquanto o flow control mantém a conexão viva indefinidamente. Amplificação: 5.700:1 no Envoy (32 GB em ~10s), 4.000:1 no Apache (~18s), 70:1 no NGINX (~45s). Patches disponíveis: NGINX 1.29.8+, mod_http2 v2.0.41 para Apache httpd. Microsoft IIS, Envoy e Cloudflare Pingora ainda sem fix no momento da divulgação (3 de junho).

Anunciado no Computex em 1º de junho e disponível a partir desta quinta, o Nemotron 3 Ultra tem 550B parâmetros totais com apenas 55B ativos por token via arquitetura MoE com 90% de sparsidade, contexto de 1 milhão de tokens e 300+ tokens por segundo. Score de 48 no Artificial Analysis Intelligence Index é o mais alto já registrado por um modelo aberto americano — supera qualquer rival doméstico em accuracy enquanto roda 3–6x mais rápido do que os concorrentes chineses de tamanho comparável. Para quem precisa de raciocínio de nível frontier com controle local e licença aberta, o Ultra é a primeira opção americana que chega no nível dos modelos fechados top.

O pacote codexui-android (UI web para o OpenAI Codex) funcionou exatamente como anunciado durante o primeiro mês de vida para construir confiança — mais de 29 mil downloads semanais e 60 mil instalações mobile. Um mês depois, código malicioso foi injetado silenciosamente: cada invocação passa a exfiltrar authentication tokens do Codex para um servidor do atacante. O refresh_token não expira, dando acesso permanente às credenciais das vítimas — projetos, código, créditos de API. O repositório GitHub permaneceu limpo; o payload existia apenas na DLL compilada, tornando revisão de código completamente ineficaz.

O update de segurança de junho do Android inclui 124 patches, com destaque para CVE-2025-48595 (CVSS 8.4): integer overflow no Framework que permite escalonamento de privilégios local sem interação do usuário, afetando Android 14, 15, 16 e 16 QPR2. A CISA adicionou ao KEV em 2 de junho com prazo de remediação federal para 5 de junho. O perfil de exploração — 'limitado e direcionado' — é característico de spyware comercial ou operação de estado, não de ataque massivo. 18 vulnerabilidades críticas adicionais no update cobrem System, Framework e componentes Qualcomm.

A semana de 8 a 12 de junho traz o WWDC26 com keynote às 10h PT — transmissão gratuita na Apple Developer e YouTube. O foco declarado é iOS 27, macOS 27, watchOS 27 e visionOS 27, todos com ênfase em performance e estabilidade antes de um redesign visual. O destaque para devs é a nova Apple Intelligence: a Siri reescrita usará um modelo derivado do Gemini do Google como backbone — Apple fechou um acordo multi-ano com o Google no início de 2026. Mais de 100 vídeos técnicos e sessões com engenheiros da Apple serão publicados ao longo da semana.

Post publicado em 2 de junho cobre as 20 fundações de networking mais cobradas em entrevistas e design reviews, organizadas em cinco categorias: endereçamento (IP, DNS, portas, MAC), pacotes e camadas (modelo OSI, subnetting), protocolos (TCP/UDP, HTTP/TLS, WebSockets), infra (firewalls, VPNs, proxies, load balancers, CDNs) e métricas de performance (latência, bandwidth, throughput). É o tipo de referência que vale rever antes de uma entrevista de system design ou na montagem de uma nova arquitetura de serviço.