Relatório de Bug Crítico: Falha de Funcionalidade do IIS/Localhost Após a Atualização Cumulativa KB5066835 para Windows

Para: Equipe de Engenharia e Suporte do Windows,

Estou escrevendo para relatar um bug de regressão crítico introduzido pela atualização cumulativa de outubro de 2025 para o Windows, especificamente a KB5066835. Esta atualização causa uma falha completa na comunicação com serviços hospedados localmente (localhost), impactando severamente os fluxos de trabalho de desenvolvimento e teste que dependem do Internet Information Services (IIS) e do IIS Express.

Resumo do Problema

Após a instalação da KB5066835 (e em alguns casos, também da KB5065789), todas as tentativas de conexão com aplicações web hospedadas localmente falham. Os sintomas específicos são:  

• ERR_CONNECTION_RESET ao tentar acessar sites via HTTP.  

ERR_HTTP2_PROTOCOL_ERROR ao tentar acessar sites via HTTPS, especialmente notável ao depurar projetos.NET no Visual Studio com IIS Express.  

A causa raiz parece ser uma regressão no driver de sistema HTTP.sys, especificamente no seu tratamento do protocolo HTTP/2. O problema afeta não apenas o IIS, mas também aplicações que utilizam HttpListener, confirmando que a falha reside em um componente de baixo nível do sistema operacional.  

Impacto nos Negócios e na Segurança

O impacto desta regressão é significativo por duas razões principais:

Interrupção da Produtividade: Para desenvolvedores e equipes de TI, esta falha representa uma paralisação completa da capacidade de desenvolver, depurar e testar aplicações web em ambientes Windows. A única solução alternativa funcional, além da desinstalação, é uma modificação no registro para desabilitar o HTTP/2, o que não é uma solução ideal ou escalável para grandes equipes.  

Dilema de Segurança Crítico: A solução mais óbvia para muitos usuários é desinstalar a atualização. No entanto, isso cria um risco de segurança inaceitável. A atualização KB5066835 corrige a vulnerabilidade CVE-2025-59282, uma falha de Execução Remota de Código (RCE) no próprio IIS. Isso força os administradores e desenvolvedores a uma escolha insustentável: manter a segurança do sistema e perder a funcionalidade essencial, ou restaurar a funcionalidade e expor seus sistemas a uma vulnerabilidade de RCE conhecida.  

Ação Solicitada

Dada a gravidade do impacto na produtividade e na segurança, solicitamos urgentemente que a equipe de engenharia do Windows:

Reconheça oficialmente este problema no painel de integridade de lançamentos do Windows.

Investigue esta regressão como uma prioridade máxima.

Libere uma correção através de uma futura atualização cumulativa ou, se possível, emita um Known Issue Rollback (KIR) para mitigar o problema sem exigir a desinstalação completa do patch de segurança.  

A comunidade de desenvolvedores depende de um ambiente de desenvolvimento local estável e seguro. Agradecemos sua atenção a este assunto crítico e aguardamos uma resolução.

Atenciosamente,Assunto: Relatório de Bug Crítico: Falha de Funcionalidade do IIS/Localhost Após a Atualização Cumulativa KB5066835 para Windows

Para: Equipe de Engenharia e Suporte do Windows,

Estou escrevendo para relatar um bug de regressão crítico introduzido pela atualização cumulativa de outubro de 2025 para o Windows, especificamente a KB5066835. Esta atualização causa uma falha completa na comunicação com serviços hospedados localmente (localhost), impactando severamente os fluxos de trabalho de desenvolvimento e teste que dependem do Internet Information Services (IIS) e do IIS Express.

Resumo do Problema

Após a instalação da KB5066835 (e em alguns casos, também da KB5065789), todas as tentativas de conexão com aplicações web hospedadas localmente falham. Os sintomas específicos são:  

ERR_CONNECTION_RESET ao tentar acessar sites via HTTP.  

ERR_HTTP2_PROTOCOL_ERROR ao tentar acessar sites via HTTPS, especialmente notável ao depurar projetos.NET no Visual Studio com IIS Express.  

A causa raiz parece ser uma regressão no driver de sistema HTTP.sys, especificamente no seu tratamento do protocolo HTTP/2. O problema afeta não apenas o IIS, mas também aplicações que utilizam HttpListener, confirmando que a falha reside em um componente de baixo nível do sistema operacional.  

Impacto nos Negócios e na Segurança

O impacto desta regressão é significativo por duas razões principais:

Interrupção da Produtividade: Para desenvolvedores e equipes de TI, esta falha representa uma paralisação completa da capacidade de desenvolver, depurar e testar aplicações web em ambientes Windows. A única solução alternativa funcional, além da desinstalação, é uma modificação no registro para desabilitar o HTTP/2, o que não é uma solução ideal ou escalável para grandes equipes.  

Dilema de Segurança Crítico: A solução mais óbvia para muitos usuários é desinstalar a atualização. No entanto, isso cria um risco de segurança inaceitável. A atualização KB5066835 corrige a vulnerabilidade CVE-2025-59282, uma falha de Execução Remota de Código (RCE) no próprio IIS. Isso força os administradores e desenvolvedores a uma escolha insustentável: manter a segurança do sistema e perder a funcionalidade essencial, ou restaurar a funcionalidade e expor seus sistemas a uma vulnerabilidade de RCE conhecida.  

Ação Solicitada

Dada a gravidade do impacto na produtividade e na segurança, solicitamos urgentemente que a equipe de engenharia do Windows:

Reconheça oficialmente este problema no painel de integridade de lançamentos do Windows.

Investigue esta regressão como uma prioridade máxima.

Libere uma correção através de uma futura atualização cumulativa ou, se possível, emita um Known Issue Rollback (KIR) para mitigar o problema sem exigir a desinstalação completa do patch de segurança.  

A comunidade de desenvolvedores depende de um ambiente de desenvolvimento local estável e seguro. Agradecemos sua atenção a este assunto crítico e aguardamos uma resolução.

Atenciosamente,