A Microsoft corrigiu quase 60 brechas de segurança em seu ecossistema em uma atualização liberada nesta terça-feira (11). Entre elas, seis são classificadas como “falhas de dia zero” ativamente exploradas por cibercriminosos.
O pacote Patch Tuesday de março de 2025 traz correções para componentes e aplicativos do Windows, incluindo programas utilitários do ecossistema da empresa, como Word e Excel. No total, foram corrigidas 56 vulnerabilidades, sendo seis consideradas críticas, 50 classificadas como importantes e uma de baixo risco.
Todas as falhas de dia zero estão relacionadas à execução remota de código. Segundo a Microsoft, uma dessas vulnerabilidades também foi exposta publicamente.
Falhas de dia zero corrigidas no Patch Tuesday
Confira detalhes sobre cada uma das vulnerabilidades de dia zero corrigidas na atualização:
- CVE-2025-24983 (CVSS 7.0): falha de uso-após-liberação (Use After Free, UAF) no subsistema do kernel Win32, permitindo que invasores autorizados elevem privilégios localmente;
- CVE-2025-24984 (CVSS 4.6): falha de divulgação de informações no Windows NTFS, permitindo que invasores com acesso físico ao dispositivo e uma unidade USB maliciosa leiam partes da memória heap;
- CVE-2025-24985 (CVSS 7.8): vulnerabilidade de estouro de inteiro (integer overflow) no driver de sistema de arquivos Windows Fast FAT, possibilitando a execução de código não autorizado;
- CVE-2025-24991 (CVSS 5.5): falha de leitura fora dos limites (out-of-bounds read) no sistema de arquivos Windows NTFS, que pode expor informações sensíveis a atacantes;
- CVE-2025-24993 (CVSS 7.8): vulnerabilidade de estouro de buffer baseado em heap no Windows NTFS, permitindo a execução de código malicioso;
- CVE-2025-26633 (CVSS 7.0): falha de neutralização imprópria no Microsoft Management Console, possibilitando que um invasor ignore um recurso de segurança localmente;
- CVE-2025-26630 (CVSS 7.3): vulnerabilidade no Microsoft Office Access, que permite a execução de código remoto devido a um bug de memória.
As correções serão distribuídas gradativamente e em caráter de urgência, considerando a gravidade das falhas corrigidas.
O que são falhas de dia zero?
Uma falha de dia zero é uma vulnerabilidade de segurança que ainda não foi descoberta ou corrigida pelos desenvolvedores do software, hardware ou firmware afetado. O termo se refere à urgência do problema, indicando que o fabricante tem “zero dias” para encontrar e aplicar uma solução antes que a falha seja explorada por invasores.
Quando essas vulnerabilidades são reconhecidas, precisam ser corrigidas o mais rápido possível. No caso da Microsoft, a situação se torna ainda mais crítica porque as brechas já estavam sendo exploradas por cibercriminosos.
O que é a pontuação CVSS?
Cada falha listada no banco de dados CVE (Common Vulnerabilities and Exposures) recebe uma pontuação baseada no sistema CVSS (Common Vulnerability Scoring System).
A escala varia de 0 a 10, onde:
- 0: nenhum risco;
- 0.1 – 3.9: risco baixo;
- 4.0 – 6.9: risco médio;
- 7.0 – 8.9: risco alto;
- 9.0 ou 10.0: risco crítico.
Quanto maior a pontuação CVSS, mais grave é a vulnerabilidade e maior a necessidade de correção imediata.
Versão de testes do Windows apresenta problemas
Testadores do Windows 11 do canal Canary do programa Windows Insider encaram problemas com placas de vídeo Nvidia. Segundo relatos, as versões mais recentes do sistema gera conflito com o DirectX 9, assim gerando travamentos no arquivo D3D9 DLL.
A Microsoft não culpou a Nvidia pelo problema, mas os usuários afetados deduzem que ele tem relação com as GPUs da marca. Quando o bug acontece, jogos, launchers, apresentações PowerPoint e outros apps não abrem como deveriam.
Os relatos foram compartilhados no Hub de Comentários da Microsoft, fórum oficial de suporte da empresa.
Por sorte, o problema está contido nas compilações entregues aos testadores do Windows 11 Canary, então há bastante tempo para a implementação de correções antes de o pacote alcançar mais usuários.
