A Microsoft lançou, nesta terça-feira (12), uma atualização de segurança para corrigir 57 vulnerabilidades, incluindo seis falhas zero-day que já estavam sendo exploradas por hackers. Dessas falhas, seis são consideradas críticas, 50 importantes e uma de baixa gravidade. Entre os problemas corrigidos, 23 permitem execução remota de código e 22 envolvem escalonamento de privilégios. Além disso, a Microsoft corrigiu 17 vulnerabilidades no navegador Edge, incluindo uma falha de falsificação (CVE-2025-26643, pontuação CVSS 5.4).

As seis falhas zero-day exploradas incluem:

• CVE-2025-24983: Uso após liberação (UAF) no subsistema Win32 do Windows.
• CVE-2025-24984: Vazamento de informações no sistema NTFS via USB malicioso.
• CVE-2025-24985: Estouro de inteiro no driver Fast FAT, permitindo execução de código.
• CVE-2025-24991: Leitura fora dos limites no NTFS, possibilitando vazamento de dados.
• CVE-2025-24993: Overflow de buffer no NTFS, permitindo execução de código.
• CVE-2025-26633: Falha no Microsoft Management Console, permitindo burlar proteções de segurança.

A falha CVE-2025-24983 foi descoberta pela ESET em março de 2023 e está associada ao malware PipeMagic, um trojan que já atacou empresas na Ásia e Arábia Saudita, sendo distribuído como um falso aplicativo do ChatGPT em 2024. Especialistas alertam que quatro dessas falhas no sistema de arquivos do Windows podem ser combinadas para execução remota de código e roubo de informações. 

Algumas campanhas utilizam arquivos VHD (discos virtuais) para esconder malware e burlar antivírus. Diante da gravidade das falhas, a CISA adicionou as vulnerabilidades ao catálogo de ameaças exploradas e determinou que agências federais apliquem as correções até 1º de abril de 2025. Outras empresas, como Adobe, Google, Apple, Cisco e IBM, também lançaram atualizações recentes para corrigir falhas em seus produtos.