Microsoft corrige três falhas de segurança críticas zero day

A Microsoft lançou as novas atualizações de segurança como parte do January Patch Tuesday onde resolveu 159 vulnerabilidades, o que inclui dez vulnerabilidades críticas de execução remota de código (RCE). Estas correções são essenciais para proteger os sistemas operativos Windows e o software contra uma potencial exploração.

A atualização de segurança mais recente da Microsoft também corrigiu três falhas críticas de zero day, divulgadas publicamente e ativamente exploradas.

Uma falha crítica de aumento de privilégios, identificada como CVE-2025-21275, foi corrigida dentro do Windows App Package Installer. Esta vulnerabilidade permite que um cibercriminoso possa adquirir privilégios ao nível do sistema num dispositivo afetado. A Microsoft reconheceu que um atacante que explore com êxito esta falha pode assumir o controlo total do sistema corrompido.

Outra falha zero day preocupante, registada como CVE-2025-21308, foi encontrada na funcionalidade Windows Themes. Esta vulnerabilidade de falsificação pode ser ativada através da apresentação de um ficheiro de tema criado no Windows Explorer. Ao contrário de outras falhas, os utilizadores não precisam de abrir ou clicar no ficheiro corrompido para explorar a falha, mas apenas fazer o upload do ficheiro para o Windows Explorer.

Foram também corrigidas três vulnerabilidades de execução remota de código (RCE) no Microsoft Access, registadas como CVE-2025-21186, CVE-2025-21366 e CVE-2025-21395. Estas falhas podem ser exploradas por cibercriminosos para executar código malicioso ao enganar a vítima para abrir documentos falsos do Microsoft Access.

O patch Tuesday de janeiro de 2025 da Microsoft salienta o risco presente de vulnerabilidades zero day nos softwares amplamente utilizados. Os utilizadores de dispositivos Windows são aconselhados a atualizar os seus dispositivos para protegê-los de uma potencial exploração.