Microsoft corrige mais de 170 vulnerabilidades, incluindo cinco vulnerabilidades críticas

A Microsoft lançou patches para 173 CVE exclusivos nos seus produtos. Destes, cinco são de gravidade crítica, contabilizando-se ainda vulnerabilidades zero day. A tecnológica alertou já para a possível exploração destas vulnerabilidades em ataques.

A primeira vulnerabilidade, rastreada como CVE-2025-24990, é descrita como um bug de pointer dereference, não confiável, que pode ser explorado para escalar privilégios. A falha de segurança afeta sobretudo o driver do Agere Modem. A segunda vulnerabilidade, rastreada como CVE-2025-59230, dá conta de um controlo de acesso inadvertido no Windows Remote Access Connection Manager - também conhecido como RasMan -, um serviço utilizado para gerir conexões de rede remotas através de redes privadas virtuais, que pode culminar na elevação de privilégios por parte dos invasores.

Foram lançados igualmente patches para 21 CVE que não são da Microsoft. Pelo menos uma das vulnerabilidades foi explorada na natureza, revela a Microsoft no comunicado de outubro. Rastreada como CVE-2025-47827, a vulnerabilidade que envolve o IGEL OS, um sistema operacional baseado em Linux, podia levar a um desvio de inicialização segura.

A CISA adicionou já estas três vulnerabilidades exploradas à sua lista KEV, incentivando as agências federais norte-americanas a procederem às correções devidas.

O mais recente Patch Tuesday coincide com o fim do suporte do Windows 10, anunciado para esta terça-feira, 14 de outubro. A Microsoft recomenda as atualizações automáticas via Windows Update ou WSUS, dando prioridade às vulnerabilidades mais críticas.