Microsoft corrige mais de 100 vulnerabilidades do Windows e do Office, incluindo vulnerabilidades críticas do RCE

A Microsoft lançou um pacote de patches como parte do Patch Tuesday, corrigindo 107 vulnerabilidades no Windows, Office, navegador Edge e outros serviços. Entre os bugs, há vários críticos, mas, segundo a empresa, nenhum deles foi usado por invasores em ataques reais.

Fonte da imagem: Triyansh Gill/Unsplash

Entre as correções, 67 afetam diversas versões suportadas do sistema operacional Windows, incluindo Windows 10, Windows 11 e Windows Server. Ao mesmo tempo, diversas vulnerabilidades, conforme relatado pela PCWorld, são classificadas como críticas. Entre elas, estão a CVE-2025-53766, uma vulnerabilidade de execução remota de código (RCE) na API da Interface de Dispositivos Gráficos, e a CVE-2025-50165 no Componente Gráfico do Windows. Ambas permitem que código arbitrário seja executado no dispositivo do usuário sem sua participação, bastando que a vítima visite um site especialmente criado para isso.

Três vulnerabilidades críticas foram corrigidas em componentes de virtualização do Hyper-V. A primeira, CVE-2025-48807, permitiu a execução de código no sistema host a partir de uma máquina virtual convidada; a segunda, CVE-2025-53781, levou ao vazamento de dados confidenciais; e a CVE-2025-49707 é uma vulnerabilidade de falsificação de identidade que permite que uma máquina virtual se faça passar por outro dispositivo de rede ao se comunicar com sistemas externos.

Também foram corrigidas 12 vulnerabilidades no Serviço de Roteamento e Acesso Remoto (RRAS), metade das quais são do tipo RCE e a outra metade do tipo vazamento de dados. Todas elas são classificadas como de alto risco.

O pacote Microsoft Office corrigiu 18 vulnerabilidades, 16 das quais são de execução remota de código. Quatro delas, incluindo duas no aplicativo Word, são consideradas críticas porque podem ser exploradas por meio de uma janela de visualização e não exigem que o usuário abra um arquivo ou execute qualquer ação. As vulnerabilidades restantes no Office são classificadas como de alto risco e, ao contrário, exigem que o usuário abra um arquivo específico.

O navegador Microsoft Edge para PC também recebeu uma atualização para a versão 139.0.3405.86 (baseada no Chromium 139.0.7258.67) com correções de segurança, enquanto a versão para Android corrigiu dois bugs específicos. A próxima Patch Tuesday está agendada para 9 de setembro de 2025.

A Microsoft recomenda que os clientes que executam sistemas Windows 7 e Windows 8.1 mais antigos que não estão mais recebendo atualizações regulares atualizem para o Windows 11 24H2 para continuar recebendo suporte e atualizações atuais.