A Microsoft lançou o maior pacote de patches de terça-feira para seu software nos últimos anos.

Na terça-feira, 14 de janeiro, a Microsoft tradicionalmente lançou um grande pacote de atualizações de segurança. Esta versão foi a maior dos últimos anos, com 159 vulnerabilidades corrigidas no Windows, Office, Edge e outras aplicações e serviços, o que é quase o dobro do número habitual de correções. De acordo com a Microsoft, três dessas vulnerabilidades já estão sendo exploradas e outras cinco eram anteriormente conhecidas publicamente.

Fonte da imagem: Microsoft

Tradicionalmente, a Microsoft fornece informações limitadas sobre vulnerabilidades para autoanálise no Guia de Atualização de Segurança. Sabe-se que a maior parte das correções, 132 vulnerabilidades, afetam diversas versões do sistema operacional Windows suportadas pela Microsoft (Windows 10, Windows 11 e Windows Server).

Segundo a empresa, três das vulnerabilidades de segurança corrigidas do Windows estão sendo exploradas ativamente. As vulnerabilidades do Hyper-V CVE-2025-21333, CVE-2025-21334 e CVE-2025-21335 permitem que invasores estabelecidos executem código com privilégios elevados de um sistema convidado. Informações sobre a extensão do uso dessas explorações não são divulgadas.

A Microsoft classifica oito vulnerabilidades do Windows como críticas. Por exemplo, a vulnerabilidade CVE-2025-21298 no Windows OLE (CVSS 9.8) pode ser explorada através de um e-mail especialmente criado se for aberto no Outlook. A ativação da visualização de anexos pode levar à injeção e execução de código malicioso.

As vulnerabilidades CVE-2025-21297 e CVE-2025-21309 (CVSS 8.1) nos Serviços de Área de Trabalho Remota do servidor podem ser usadas por invasores para lançar um ataque remoto sem exigir que o usuário faça login.

Também corrigimos 28 vulnerabilidades semelhantes de execução remota de código (RCE, CVSS 8.8) no serviço de telefonia do Windows. Estas vulnerabilidades são classificadas como de alto risco, mas não há evidências de sua exploração por invasores.

A Microsoft corrigiu 20 vulnerabilidades em produtos Office. Isso inclui vulnerabilidades RCE no Word, Excel, Outlook, OneNote, Visio e SharePoint Server. Três vulnerabilidades RCE no Access são classificadas como vulnerabilidades de dia zero.

O pacote de atualização também inclui um patch de segurança para o navegador Microsoft Edge – versão 131.0.2903.146 de 10 de janeiro, baseado no Chromium 131.0.6778.265. No entanto, a documentação detalhada para esta atualização ainda não está disponível. As correções são provavelmente semelhantes às feitas pelo Google na versão mais recente do Chrome, que abordou uma série de vulnerabilidades de alto risco.

A Microsoft mais uma vez pediu aos usuários de versões herdadas do Windows 7 e 8.1 que atualizassem para o Windows 10 ou Windows 11 para continuar recebendo atualizações de segurança. A próxima Patch Tuesday regular está agendada para 11 de fevereiro de 2025.