A Microsoft lançou atualizações de segurança para seus sistemas operacionais Windows e Office, corrigindo um total de 80 vulnerabilidades. A empresa classificou oito vulnerabilidades no Windows e no Office como críticas, mas nenhuma delas foi utilizada em ataques reais.
Fonte da imagem: Microsoft
A maioria das vulnerabilidades (58) está relacionada às diversas versões do Windows para as quais a Microsoft ainda oferece atualizações de segurança: Windows 10, Windows 11 e Windows Server. A empresa classificou sete vulnerabilidades de segurança no Windows como críticas, incluindo quatro vulnerabilidades de execução remota de código (RCE). Cinco dessas vulnerabilidades críticas estão relacionadas a componentes gráficos. Para executar código malicioso, basta abrir um arquivo de imagem infectado, por exemplo, baixado de um site. A vulnerabilidade de vazamento de dados CVE-2025-53799 se destaca porque sua exploração pode expor apenas uma pequena parte da memória de trabalho.
A Microsoft também corrigiu cinco vulnerabilidades de segurança no Hyper-V (uma plataforma para virtualização de hardware — nota do editor), uma das quais (CVE-2025-55224) é classificada como crítica. As vulnerabilidades restantes estão relacionadas à escalação de privilégios (EOP). Outra vulnerabilidade crítica de escalonamento de privilégios (CVE-2025-54918) foi descoberta no NT LAN Manager. Ela permite que um invasor com direitos de usuário obtenha autorização do sistema na rede e a utilize em um ataque direcionado.
A vulnerabilidade com classificação mais alta é a CVE-2025-55232, descoberta no Microsoft High Performance Compute (HPC) Pack. Um invasor pode injetar código remotamente sem uma conta de usuário e executá-lo de forma independente. A vulnerabilidade afeta apenas clusters HPC. Como uma das medidas, a Microsoft recomenda o bloqueio da porta TCP 5999.
Este mês, a Microsoft também corrigiu 10 vulnerabilidades no Serviço de Roteamento e Acesso Remoto (RRAS).Duas vulnerabilidades estão relacionadas ao RCE (Remote Code Execution) e permitem que um invasorexecutar código arbitrário remotamente. As demais estão relacionadas a vazamentos de dados. Todas são categorizadas como de alto risco. Seis vulnerabilidades de alto risco do EOP foram corrigidas no serviço Firewall do Windows. Um invasor com direitos de usuário pode usá-las para obter autorização de uma conta do sistema local e executar código malicioso.
A Microsoft também corrigiu 16 vulnerabilidades na família de software Office – 12 delas relacionadas à execução remota de código (RCE). Uma delas (CVE-2025-54910) é marcada como crítica, pois o vetor de ataque é a janela de visualização. Isso significa que o ataque pode ser realizado simplesmente exibindo um arquivo infectado na janela de visualização, sem sequer abri-lo. A Microsoft categoriza as vulnerabilidades restantes do Office como de alto risco. Nesse caso, o usuário precisa abrir o arquivo infectado para ativar o código de exploração. No Excel, a empresa corrigiu oito vulnerabilidades de RCE.
A próxima grande atualização de segurança está agendada para 14 de outubro, mesmo dia em que termina o suporte oficial para o sistema operacional Windows 10.