A Microsoft lançou, esta terça-feira, o seu habitual pacote de atualizações de segurança de setembro, conhecido como "Patch Tuesday", abordando um total de 81 vulnerabilidades em diversos dos seus produtos. Deste conjunto, nove foram classificadas como "Críticas" e duas já eram do conhecimento público, sendo consideradas falhas "zero-day".
As atualizações abrangem uma vasta gama de produtos da gigante tecnológica, incluindo o Windows, Microsoft SQL Server, e outras ferramentas. No total, foram corrigidas 41 vulnerabilidades de elevação de privilégios, 22 de execução remota de código, 16 de divulgação de informação, entre outras.
Duas falhas "zero-day" em destaque
Neste pacote de correções, a Microsoft deu especial atenção a duas vulnerabilidades que já tinham sido divulgadas publicamente antes de existir uma solução oficial, o que as classifica como "zero-day".
A primeira, identificada como CVE-2025-55234, é uma falha de elevação de privilégios no Windows SMB Server. Esta vulnerabilidade poderia permitir que um atacante realizasse ataques de retransmissão (relay attacks), conseguindo obter permissões elevadas no sistema e, consequentemente, assumir o controlo do mesmo. A Microsoft recomenda que os administradores de sistemas ativem as funcionalidades de proteção já existentes, como a assinatura SMB e a Proteção Expandida para Autenticação (EPA), para mitigar este tipo de ataque.
A segunda vulnerabilidade "zero-day", CVE-2024-21907, afeta o Microsoft SQL Server devido a uma falha na biblioteca Newtonsoft.Json. Divulgada originalmente em 2024, esta falha permite que um atacante, através do envio de dados manipulados, possa desencadear uma exceção de "StackOverflow", resultando numa negação de serviço (Denial of Service) e bloqueando o sistema.
Outras atualizações importantes no ecossistema
Para além das correções da Microsoft, outras grandes empresas tecnológicas também lançaram as suas atualizações de segurança em setembro. A Google lançou a sua atualização mensal para Android, corrigindo 84 falhas, duas das quais já estavam a ser ativamente exploradas. A Adobe, a SAP, a Cisco e a TP-Link também disponibilizaram patches para vulnerabilidades críticas nos seus produtos.
Juntamente com os pacotes de segurança, a Microsoft lançou as atualizações cumulativas para o Windows 11 (KB5065426 & KB5065431) e para o Windows 10 (KB5065429), que incluem melhorias de desempenho e a correção de outros erros não relacionados com segurança. A recomendação, como sempre, é que todos os utilizadores instalem estas atualizações o mais rapidamente possível para garantir a proteção dos seus sistemas.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech