A Patch Tuesday de dezembro de 2025 foi liberada pela Microsoft e trouxe correções para 57 vulnerabilidades, incluindo uma falha zero-day explorada ativamente e outras duas zero-days divulgadas publicamente. A atualização também aborda três vulnerabilidades consideradas críticas, todas relacionadas à execução remota de código.
A distribuição dos bugs corrigidos este mês inclui:
-
28 falhas de Elevação de Privilégios
-
19 falhas de Execução Remota de Código (RCE)
-
4 falhas de Divulgação de Informações
-
3 falhas de Negação de Serviço (DoS)
-
2 falhas de Spoofing
O total não incluiu as correções do Microsoft Edge (15 falhas) e as vulnerabilidades do Mariner, já tratadas no início de dezembro. Para detalhes sobre updates não relacionados à segurança, a Microsoft disponibilizou informações nas atualizações cumulativas KB5072033 e KB5071417 do Windows 11.
Empresas que enfrentam dificuldades com atrasos, priorização de patches ou visibilidade de riscos podem conferir o recente webinar produzido com a Action1, que aborda práticas modernas de gestão de atualizações.
Três vulnerabilidades zero-day — uma explorada ativamente
A atualização deste mês corrige três vulnerabilidades zero-day, sendo uma delas usada em ataques reais antes da liberação do patch.
Zero-day explorada ativamente
CVE-2025-62221 — Elevação de Privilégios no driver Windows Cloud Files Mini Filter
A falha, explorada antes da correção, permitia que um invasor autenticado realizasse elevação de privilégios locais devido a um erro de “use after free” no driver do Windows Cloud Files.
Segundo a Microsoft, o ataque bem-sucedido concede ao invasor privilégios de SISTEMA, o nível mais alto no Windows.
A descoberta foi atribuída ao Microsoft Threat Intelligence Center (MSTIC) e ao Microsoft Security Response Center (MSRC). Detalhes sobre como a vulnerabilidade foi explorada não foram divulgados.
Zero-days divulgadas publicamente
CVE-2025-64671 — Execução Remota de Código no GitHub Copilot para JetBrains
A falha, tornada pública recentemente, permitia que invasores executassem comandos locais via injeção de comando causada por neutralização inadequada de elementos especiais no GitHub Copilot.
A exploração podia ocorrer por meio de Cross Prompt Injection em arquivos não confiáveis ou servidores MCP, anexando comandos maliciosos aos já aprovados automaticamente no terminal do usuário.
A descoberta foi atribuída ao pesquisador Ari Marzuk, autor do relatório “IDEsaster: Uma Nova Classe de Vulnerabilidade em IDEs de IA”.
CVE-2025-54100 — Execução Remota de Código no PowerShell
A Microsoft corrigiu uma vulnerabilidade no PowerShell que permitia a execução de scripts incorporados em páginas web quando acessadas via Invoke-WebRequest, também resultado de falhas na neutralização de elementos de comando.
Para mitigar o risco, uma atualização agora exibe um aviso no PowerShell, recomendando o uso do parâmetro -UseBasicParsing para impedir a execução indevida de código remoto.
A vulnerabilidade foi reportada por diversos pesquisadores: Justin Necke, DeadOverflow, Pēteris Hermanis Osipovs, Anonymous, Melih Kaan Yıldız e Osman Eren Güneş.
Fonte:
