Microsoft corrige 107 falhas críticas no Windows, Office e Edge
A Microsoft publicou o pacote de segurança mensal de Agosto, o Patch Tuesday, contendo correcções para 107 vulnerabilidades detectadas nos seus sistemas operativos, aplicações e serviços em nuvem. Embora a empresa afirme não existirem indícios de exploração activa, várias das falhas foram classificadas como críticas, exigindo instalação imediata das actualizações.
Windows concentra a maioria das correcções
Do total de falhas solucionadas, 67 afectam directamente as versões do Windows que continuam a receber suporte – Windows 10, Windows 11 e Windows Server. Utilizadores que permanecem em Windows 7 ou Windows 8.1 deixam de beneficiar destas correcções e, segundo a Microsoft, devem migrar para o Windows 11 24H2 para manterem protecção.
Entre as correcções consideradas mais graves destacam-se duas vulnerabilidades de execução remota de código (RCE). A CVE-2025-53766 reside na API Graphics Device Interface e permite a um atacante executar código arbitrário após o utilizador visitar um site malicioso. Já a CVE-2025-50165, no Windows Graphics Component, pode ser explorada através de uma imagem manipulada embutida numa página web.
Hyper-V e RRAS recebem atenção especial
Três falhas identificadas no Hyper-V foram marcadas pela Microsoft como críticas. A CVE-2025-48807 é uma RCE que possibilita a fuga do ambiente virtual, permitindo que código executado numa máquina convidada seja corrido no anfitrião. A CVE-2025-53781 expõe dados confidenciais, enquanto a CVE-2025-49707 possibilita falsificação de identidade por parte da máquina virtual ao comunicar com sistemas externos.
A Routing and Remote Access Service (RRAS) teve 12 vulnerabilidades eliminadas. Seis delas permitem execução remota de código e as restantes representam fugas de informação. Embora classificadas um nível abaixo das críticas, a Microsoft atribui-lhes risco elevado.
Office corrige falhas exploráveis pelo painel de pré-visualização
O pacote Office recebeu 18 correcções, 16 das quais para falhas RCE. Quatro foram rotuladas como críticas por poderem ser desencadeadas unicamente com a pré-visualização de um ficheiro no Outlook ou no Explorer, sem necessidade de abertura explícita. Duas dessas vulnerabilidades afectam o Word. As restantes exigem que o utilizador abra manualmente o documento manipulado.
Kerberos e Edge também actualizados
A única falha previamente divulgada antes do Patch Tuesday — CVE-2025-53779, que afecta o Kerberos no Windows Server 2025 — foi corrigida. Sob condições específicas, poderia oferecer privilégios de administrador de domínio; a empresa classifica o risco como médio.
O Microsoft Edge passou para a versão 139.0.3405.86 no desktop, baseada no Chromium 139.0.7258.67, eliminando vulnerabilidades presentes no motor open source. No Android, o navegador foi actualizado para a mesma numeração, tapando duas falhas exclusivas.
Recomendações para utilizadores e administradores
Para sistemas suportados, a Microsoft distribui as correcções via Windows Update, WSUS e Windows Update for Business. Empresas que usam ferramentas de gestão devem priorizar a implementação dos patches relacionados com RCE, Hyper-V, RRAS e Office, devido ao impacto potencial em estações de trabalho e servidores.
A actualização automática do Edge ocorre em segundo plano; contudo, é possível forçar a verificação através do menu «Ajuda > Acerca do Microsoft Edge». Em ambientes empresariais, os ficheiros de instalação offline podem ser obtidos no portal oficial.
Embora a Microsoft refira não existirem ataques em curso, especialistas de segurança alertam para a rápida adaptação de grupos maliciosos após a divulgação dos boletins. A aplicação célere dos patches reduz a janela de exposição e impede que códigos de prova de conceito se tornem armas eficazes.
Imagem: pcworld.com
