Microsoft corrige vulnerabilidade crítica no Bing

A Microsoft corrigiu uma vulnerabilidade crítica de segurança no motor de busca Bing, identificada como CVE-2025-21355, que permitia a execução remota de código arbitrário por atacantes não autorizados.

A falha, classificada como uma ausência de autenticação numa falha crítica, representava riscos significativos para as empresas e utilizadores que dependiam da infraestrutura do Bing. Com uma pontuação máxima de gravidade CVSS de 9,8, esta vulnerabilidade de execução remota de código (RCE) foi uma das ameaças mais graves ao ecossistema da Microsoft reportada este ano.

O erro de segurança teve origem em mecanismos de autenticação inadequados num componente crítico do serviço Bing. Os cibercriminosos podiam explorar a falha numa rede para executar código malicioso sem necessidade de interação do utilizador ou autenticação prévia.

Apesar de a Microsoft ainda não ter divulgado detalhes técnicos específicos para evitar futuras violações, os analistas de segurança especulam que a vulnerabilidade residia na API do Bing ou na camada de serviço na cloud.

A Microsoft mitigou a vulnerabilidade nos seus servidores, não sendo necessária qualquer ação por parte dos utilizadores finais ou administradores. A empresa enfatizou o seu “compromisso com a transparência” ao emitir o CVE, apesar de a correção ter sido implementada discretamente.

Esta abordagem está alinhada com a recente estratégia da Microsoft de documentar vulnerabilidades em serviços de cloud resolvidas retroativamente, ajudando as organizações a auditar os seus cronogramas de exposição.