Nesta terça-feira, a Microsoft disponibilizou um vasto pacote de actualizações de segurança para corrigir 138 vulnerabilidades em todo o seu portefólio de produtos. De acordo com a The Hacker News, nenhuma destas falhas está assinalada como sendo conhecida publicamente ou a ser alvo de ataques activos até ao momento.
Do total de 138 problemas identificados, a empresa classifica 30 como Críticos, 104 como Importantes, três como Moderados e apenas um com gravidade Baixa. No que diz respeito à tipologia, 61 destas vulnerabilidades permitem a elevação de privilégios. A lista inclui ainda 32 falhas de execução remota de código, 15 de divulgação de informações, 14 de falsificação, oito de negação de serviço, seis que permitem contornar funcionalidades de segurança e duas de adulteração.
Correcções adicionais e falhas críticas
A lista de actualizações integra também uma vulnerabilidade corrigida pela AMD este mês (CVE-2025-54518, com pontuação CVSS de 7.3). Este problema diz respeito a um isolamento incorrecto de recursos partilhados na cache dos processadores baseados na arquitectura Zen 2. Esta falha pode permitir que um atacante corrompa instruções executadas a um nível de privilégio diferente, o que resulta numa potencial elevação de privilégios.
Além disso, os patches agora lançados somam-se a 127 falhas de segurança que a Google resolveu no Chromium, a base que a Microsoft usa para o seu browser Edge.
A publicação avança que uma das vulnerabilidades mais graves corrigidas pela gigante de Redmond é a CVE-2026-41096 (pontuação CVSS de 9.8). Trata-se de um problema de transbordo de memória que afecta o Windows DNS. A Microsoft indica que um atacante não autorizado pode explorar esta falha ao enviar uma resposta DNS manipulada para um sistema vulnerável. Isto leva o Cliente DNS a processar a resposta de forma incorrecta e a corromper a memória, o que permite executar código remotamente sem necessidade de autenticação.
As 15 vulnerabilidades de destaque
A Microsoft resolveu ainda um conjunto de 15 falhas específicas classificadas como Críticas e Importantes. A lista completa destes problemas é a seguinte:
- CVE-2026-42826 (CVSS 10.0) – Exposição de informações sensíveis no Azure DevOps que permite a um atacante não autorizado revelar dados através de uma rede (não exige acção do cliente).
- CVE-2026-33109 (CVSS 9.9) – Controlo de acesso incorrecto no Azure Managed Instance para Apache Cassandra, o que permite a execução de código através da rede.
- CVE-2026-42898 (CVSS 9.9) – Vulnerabilidade de injecção de código no Microsoft Dynamics 365 (on-premises) que permite a execução de código remotamente.
- CVE-2026-42823 (CVSS 9.9) – Controlo de acesso inadequado no Azure Logic Apps que possibilita a elevação de privilégios.
- CVE-2026-41089 (CVSS 9.8) – Transbordo de memória no Windows Netlogon. Permite a execução de código sem necessidade de início de sessão prévio, ao enviar um pedido de rede manipulado para um servidor Windows a actuar como controlador de domínio.
- CVE-2026-33823 (CVSS 9.6) – Autorização incorrecta no Microsoft Teams que permite a divulgação de informações (não exige ação do cliente).
- CVE-2026-35428 (CVSS 9.6) – Injecção de comandos no Azure Cloud Shell que permite a falsificação através da rede (não exige ação do cliente).
- CVE-2026-40379 (CVSS 9.3) – Exposição de informações no Azure Entra ID que possibilita ataques de falsificação (não exige ação do cliente).
- CVE-2026-40402 (CVSS 9.3) – Falha no Windows Hyper-V que permite a um atacante obter privilégios de SISTEMA e aceder ao ambiente anfitrião.
- CVE-2026-41103 (CVSS 9.1) – Implementação incorrecta do algoritmo de autenticação no Microsoft SSO Plugin para Jira e Confluence. Permite o acesso não autorizado como utilizador válido.
- CVE-2026-33117 (CVSS 9.1) – Autenticação inadequada no Azure SDK que permite contornar uma funcionalidade de segurança.
- CVE-2026-42833 (CVSS 9.1) – Execução com privilégios desnecessários no Microsoft Dynamics 365 (on-premises), o que permite interagir com aplicações de outros inquilinos.
- CVE-2026-33844 (CVSS 9.0) – Validação de entrada incorrecta no Azure Managed Instance para Apache Cassandra que permite a execução de código (não exige ação do cliente).
- CVE-2026-40361 (CVSS 8.4) – Vulnerabilidade no Microsoft Office Word que permite a execução de código localmente sem interação do utilizador.
- CVE-2026-40364 (CVSS 8.4) – Falha de confusão de tipos no Microsoft Office Word que também permite executar código localmente sem interacção do utilizador.
