A Microsoft disponibilizou o conjunto de actualizações a ‘Patch Tuesday’ (conjunto de actualizações que são disponibilizadas na segunda terça-feira de cada mês) de Janeiro de 2025, que resolve um total de 161 vulnerabilidades de segurança em todo o seu portefólio de software. De acordo com a Zero Day Initiative, isto representa o maior número de CVE (Common Vulnerabilities and Exposures) resolvidas num único mês pela empresa desde pelo menos 2017. A actualização elimina 11 vulnerabilidades classificadas como Críticas, 149 classificadas como Importantes, três vulnerabilidades ‘zero-day’ que estão a se exploradas activamente, e mais cinco vulnerabilidades conhecidas há já algum tempo, relata o site The Hacker News.
As três vulnerabilidades ‘zero-day’ (CVE-2025-21333, CVE-2025-21334 e CVE-2025-21335) afectam o Windows Hyper-V NT Kernel Integration VSP. Todas as três têm uma pontuação CVSS de 7.8 e podem permitir que um atacante obtenha privilégios de sistema. A Microsoft confirmou que estas vulnerabilidades estão a ser exploradas activamente.
Vulnerabilidades ‘zero-day ‘são falhas de segurança desconhecidas para o fornecedor do software que permanecem sem correcção no momento da sua descoberta. São chamadas de ‘zero-day’ porque o fornecedor teve zero dias para criar e lançar uma correcção.
Entre as vulnerabilidades críticas corrigidas estão:
- CVE-2025-21294 (Vulnerabilidade de Execução Remota de Código de Autenticação Digest da Microsoft)
- CVE-2025-21295 (Vulnerabilidade de Execução Remota de Código do Mecanismo de Segurança de Negociação Estendida SPNEGO)
- CVE-2025-21298 (Vulnerabilidade de Execução Remota de Código de Vinculação e Incorporação de Objectos do Windows)
- CVE-2025-21307 (Vulnerabilidade de Execução Remota de Código do Driver de Transporte Multicast Confiável do Windows)
- CVE-2025-21311 (Vulnerabilidade de Elevação de Privilégio do Windows NTLM V1)
Cinco vulnerabilidades eram conhecidas antes do lançamento da correcção, incluindo três Vulnerabilidades de Execução Remota de Código do Microsoft Access (CVE-2025-21186, CVE-2025-21366, CVE-2025-21395), uma Vulnerabilidade de Elevação de Privilégios do Instalador de Aplicações do Windows (CVE-2025-21275) e uma Vulnerabilidade de Spoofing de Temas do Windows (CVE-2025-21308).
Além disto, uma falha de divulgação de informações do Windows BitLocker (CVE-2025-21210) sugere que, se alguém obtiver acesso físico a um disco rígido, poderá recuperar imagens de hibernação em texto simples.
Especialistas em segurança recomendam uma aplicação rápida destas correcções. O conselho é corrigir primeiro as vulnerabilidades ‘zero-day’ que os hackers estão a explorar actualmente.
A Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos adicionou as vulnerabilidades que estão a ser exploradas ao catálogo de Known Exploited Vulnerabilities (KEV), que obriga as agências federais a aplicar as correcções até 4 de Fevereiro de 2025.
