A Microsoft lançou atualizações de agosto de agosto, abordando 107 novas vulnerabilidades de segurança em seus produtos, sem explorações ativas confirmadas.
O lançamento em agosto na terça -feira da Microsoft introduziu um conjunto abrangente de atualizações de segurança, corrigindo um total de 107 vulnerabilidades distintas em vários produtos e serviços da Microsoft. A Microsoft especificou que nenhuma dessas vulnerabilidades identificadas estava sendo ativamente explorada na natureza no momento da versão da atualização. O próximo patch programado na terça -feira para a Microsoft é 9 de setembro de 2025.
Uma parte significativa das vulnerabilidades abordadas, especificamente 67, foi encontrada e posteriormente fixada nas versões suportadas do sistema operacional Windows. Isso inclui o Windows 10, o Windows 11 e o Windows Server. É importante observar que os usuários do Windows 7 e do Windows 8.1 não receberam atualizações de segurança por um período prolongado, tornando esses sistemas potencialmente vulneráveis. A atualização para o Windows 11 24H2 é recomendada para os usuários nesses sistemas operacionais mais antigos, desde que seus requisitos do sistema sejam atendidos, para garantir a recepção contínua de atualização de segurança.
Entre as vulnerabilidades críticas identificadas no Windows estão CVE-2025-53766 e CVE-2025-50165. O CVE-2025-53766 é uma falha de execução de código remoto (RCE) que afeta a API da interface do dispositivo gráfico, que é utilizada por aplicativos gráficos. CVE-2025-50165 é outra vulnerabilidade RCE, localizada no componente gráfico do Windows. Explorar qualquer uma dessas vulnerabilidades pode permitir que um invasor injete e execute o código arbitrário em um sistema sem exigir a interação do usuário. Para CVE-2025-53766, simplesmente visitar um site especialmente criado é suficiente para um ataque. Para CVE-2025-50165, um invasor pode obter a execução do código criando uma imagem maliciosa incorporada em uma página da web.
A Microsoft também categorizou três vulnerabilidades no Hyper-V como crítica. O CVE-2025-48807 é uma vulnerabilidade RCE, que, se explorada, pode permitir a execução do código no sistema host a partir de uma máquina virtual convidada. CVE-2025-53781 é uma vulnerabilidade de vazamento de dados, potencialmente permitindo acesso não autorizado a informações confidenciais. O CVE-2025-49707 é uma vulnerabilidade falsificada que pode permitir que uma máquina virtual se represente uma identidade diferente durante as comunicações com sistemas externos.
O Serviço de Rotamento e Acesso Remoto (RRAs) teve 12 vulnerabilidades abordadas, todas classificadas como alto risco. Metade deles eram vulnerabilidades de RCE, enquanto a outra metade eram vulnerabilidades de vazamento de dados. Uma vulnerabilidade, CVE-2025-53779 em Kerberos para o Windows Server 2025, havia sido divulgada anteriormente. Essa vulnerabilidade, classificada como risco médio da Microsoft, poderia permitir que um invasor obtenha direitos de administrador para domínios sob condições específicas.
Dentro da família de produtos do Microsoft Office, 18 vulnerabilidades foram corrigidas, incluindo 16 vulnerabilidades RCE. Quatro dessas vulnerabilidades RCE, duas das quais são especificamente no Word, foram designadas como críticas pela Microsoft porque a janela de visualização serve como um vetor de ataque. Isso significa que uma exploração pode ocorrer simplesmente exibindo um arquivo malicioso no painel de visualização, sem que o usuário precise clicar ou abrir o arquivo. As vulnerabilidades restantes do escritório foram categorizadas como alto risco, normalmente exigindo que o usuário abra um arquivo especialmente preparado para que o código de exploração seja executado.
O navegador Edge também recebeu atualizações de segurança. A versão 139.0.3405.86 de Edge foi lançada em 7 de agosto, construída sobre o cromo 139.0.7258.67 e incluiu correções para múltiplas vulnerabilidades presentes na base do cromo. O Edge for Android, versão 139.0.3405.86, foi lançado um pouco mais tarde e incorporou correções para duas vulnerabilidades específicas para o navegador Edge.
