Pacote de segurança de janeiro da Microsoft e Adobe corrige falhas críticas e uma em ataque ativo

    Redação
  • em 13 de janeiro de 2026
    • Categories: Tecnologia
windows

windows - mundissima/Shutterstock.com

Siga o Mix Vale no GoogleVeja as notícias do Mundo com destaque nas buscas do GoogleAdicionar

As gigantes da tecnologia Microsoft e Adobe iniciaram o ano com um significativo volume de atualizações de segurança para seus produtos. Em janeiro, ambas as empresas lançaram diversos boletins destinados a corrigir uma vasta gama de vulnerabilidades, incluindo falhas críticas e uma exploração já em curso.

Este esforço de correção, que tradicionalmente ocorre na segunda terça-feira do mês, visa proteger milhões de usuários e organizações em todo o mundo contra potenciais ameaças cibernéticas. O pacote deste mês destaca a contínua batalha contra softwares maliciosos e ataques sofisticados.

A atenção dos especialistas se volta para a correção de vulnerabilidades que, se não endereçadas, poderiam comprometer a integridade dos sistemas. A rápida aplicação desses patches é fundamental para mitigar os riscos e garantir a segurança digital.

Adobe: correções abrangentes e prioridades

A Adobe divulgou 11 boletins neste mês, que endereçam um total de 25 vulnerabilidades CVE exclusivas. Os produtos afetados incluem Dreamweaver, InDesign, Illustrator, InCopy, Bridge, a suíte Substance 3D (Modeler, Stager, Painter, Sampler, Designer) e ColdFusion, cobrindo uma vasta gama de ferramentas criativas e plataformas de desenvolvimento.

Entre as atualizações, a correção para o ColdFusion se destaca por ser classificada como Prioridade 1, embora não houvesse conhecimento público ou ataques ativos no momento do lançamento. Este patch visa uma única falha de execução de código, sublinhando a gravidade potencial da vulnerabilidade caso fosse explorada.

O Dreamweaver recebeu correções para cinco vulnerabilidades de execução de código classificadas como Críticas, enquanto o InDesign também apresentou cinco CVEs, com quatro delas igualmente categorizadas como Críticas. A suíte Substance 3D, embora com múltiplas correções, teve apenas algumas classificadas como execução de código arbitrário crítico, como no Substance 3D Stager e Painter.

A maioria das atualizações da Adobe, com exceção do ColdFusion, foi listada com prioridade de implantação 3, indicando que, embora importantes, não estavam sob ataque ativo nem eram de conhecimento público no momento de sua divulgação.

Pacote robusto da Microsoft para o ano

A Microsoft começou o ano com um lançamento massivo, revelando 112 novas vulnerabilidades (CVEs) em seus sistemas e componentes, incluindo Windows, Office, Azure, Microsoft Edge (baseado no Chromium), SharePoint Server, SQL Server, SMB Server e Windows Management Services. Com as atualizações de terceiros do Chromium, o total de CVEs sobe para 114.

Este volume elevado de patches em janeiro não é incomum, refletindo uma prática comum de fornecedores que adiam certas atualizações durante o período de festas de fim de ano. Tal estratégia busca evitar interrupções significativas caso as correções causem problemas de compatibilidade ou falhas críticas durante um período de menor disponibilidade de equipes de suporte.

Das correções lançadas, oito foram classificadas como Críticas, enquanto as demais foram categorizadas como Importantes. A diversidade das vulnerabilidades demonstra a complexidade da manutenção da segurança em um ecossistema de software tão amplo e interconectado como o da Microsoft.

Vulnerabilidade explorada ativamente: alerta urgente

Veja Também
  1. Novo RPG de ação em primeira pessoa Fatekeeper é lançado no Steam com foco em combate e exploração
  2. Recém-casados Peter Phillips e Harriet Sperling escolhem chalé discreto na propriedade da princesa Anne
  3. Apple detalha mais de 250 novos recursos no iOS 27, macOS e todo o seu ecossistema
  4. Nintendo Switch 2 registra queda brusca nas vendas no Japão após reajuste de preço
  5. Inazuma Eleven Cross inicia atividades com história original e novo protagonista Shiosawa You
  6. Rockstar Games expande catálogo do GTA+ com adição de Grand Theft Auto V para assinantes

Um dos destaques do pacote da Microsoft é uma vulnerabilidade que está sob ataque ativo: a CVE-2026-20805, uma falha de divulgação de informações no Gerenciador de Janelas da Área de Trabalho. Embora incomum para uma falha de divulgação de informações ser explorada em tempo real, essa vulnerabilidade permite o vazamento de endereços de seções de portas ALPC remotas.

Essa exposição de informações é crucial, pois permite que atacantes utilizem esses endereços como um passo preliminar em uma cadeia de exploração mais ampla. Geralmente, o objetivo final é obter a execução de código arbitrário (RCE), tornando explorações mais confiáveis e eficientes. A Microsoft não detalhou a abrangência das explorações, mas a natureza da falha sugere um risco considerável para os sistemas não corrigidos.

Falhas notáveis no Microsoft Office e outros sistemas

O Microsoft Office foi novamente alvo de vulnerabilidades, com as CVE-2026-20952 e CVE-2026-20953 destacando-se como falhas de execução remota de código (RCE). Estas vulnerabilidades são preocupantes devido aos vetores de exploração que envolvem o Painel de Visualização, permitindo ataques sem interação direta do usuário.

Embora ainda não haja registro de explorações ativas dessas falhas específicas, a recorrência de vulnerabilidades no Painel de Visualização do Office indica uma área persistente de risco. Administradores podem mitigar o perigo desativando o Painel de Visualização, uma medida preventiva que, embora não seja uma correção definitiva, impede a exploração através desse vetor.

Outra falha relevante é a CVE-2026-21265, uma vulnerabilidade de bypass do recurso de segurança Secure Boot devido à expiração de certificado. Embora a chance de exploração seja baixa, o potencial de problemas para os administradores é alto. A não atualização dos certificados pode impedir que dispositivos que utilizam o Secure Boot recebam futuras atualizações de segurança ou confiem em novos carregadores de inicialização, expondo-os a riscos futuros.

Análise aprofundada das CVEs importantes

A lista completa de CVEs da Microsoft para janeiro de 2026 abrange uma vasta gama de problemas. Entre as falhas críticas, além das já mencionadas no Office, destacam-se vulnerabilidades de execução remota de código no Microsoft Excel e Word, elevação de privilégios no componente gráfico do Windows e no Serviço de Subsistema de Autoridade de Segurança Local (LSASS), além de uma falha crítica de elevação de privilégios no Enclave de Segurança Baseada em Virtualização (VBS) do Windows.

O VBS, um recurso de segurança mais recente do Windows, utiliza Níveis de Confiança Virtual (VTLs) para gerenciar privilégios. A CVE-2026-20876 permite a elevação de privilégios para o VTL2, atualmente o nível mais alto, o que representa um risco significativo. Embora a Microsoft a tenha classificado com CVSS 6.7, a complexidade e o escopo da elevação entre VTLs levam muitos especialistas a considerarem uma pontuação efetiva de 8.2 (Alta).

As vulnerabilidades importantes se espalham por quase todos os serviços e componentes do Windows e Azure, incluindo elevação de privilégios em drivers de modem, no agente de máquina conectada do Azure, no serviço de gerenciamento de acesso a capacidades (camsvc), e falhas de divulgação de informações em vários componentes. Também há vulnerabilidades de execução remota de código no SharePoint Server, SQL Server, e nos Serviços de Implantação do Windows, além de diversas falhas de elevação de privilégios nos Serviços de Gerenciamento do Windows e no kernel do sistema operacional. Esta ampla distribuição ressalta a necessidade de uma estratégia de patching robusta e contínua por parte das organizações.

Recomendações para administradores de TI

Diante do extenso volume de atualizações de segurança divulgadas por Adobe e Microsoft, administradores de sistemas e equipes de TI devem priorizar a implementação desses patches. A presença de uma vulnerabilidade explorada ativamente na Microsoft, juntamente com diversas outras classificadas como críticas, torna a ação imediata imperativa para proteger infraestruturas digitais.

É fundamental que as organizações revisem a lista completa de CVEs e avaliem o impacto potencial em seus ambientes específicos. Testes em ambientes controlados antes da implantação em produção são uma prática recomendada para garantir a compatibilidade e evitar interrupções operacionais. Além disso, a desativação de recursos como o Painel de Visualização em ambientes de alto risco pode oferecer uma camada extra de proteção contra explorações de dia zero ou ainda desconhecidas.

A vigilância contínua sobre novas ameaças e a manutenção de sistemas atualizados são pilares essenciais na defesa contra ataques cibernéticos. As atualizações de janeiro de 2026 servem como um lembrete contundente da paisagem de ameaças em constante evolução e da necessidade de resiliência e proatividade na segurança cibernética.

Tags: adobeMicrosoftpatch tuesdaysegurança cibernéticavulnerabilidades
Veja Também
  1. Meta admite falhas na reestruturação do quadro funcional para IA, revela Mark Zuckerberg em memorando
  2. Fortune reconhece Nubank na lista de 100 inovadores cripto e destaca sua atuação global em ativos digitais
  3. Do pós-guerra à inovação: Coreia do Sul ascende como potência tecnológica mundial
  4. Atualização de junho da One UI 8.5 leva recursos de inteligência artificial do S26 para Galaxy S25 e Fold 7
  5. Demanda por jogos na escala de GTA 6 impulsionará IA generativa, avalia diretor de Stranger Than Heaven
  6. Rockstar Games expande catálogo do GTA+ com adição de Grand Theft Auto V para assinantes
  7. Samsung permite monitoramento da velocidade de rede na barra de status em celulares Galaxy com One UI 9
  8. PS Plus Extra e Deluxe de junho de 2026 adiciona Final Fantasy XVI e adota nova estratégia de lançamento
  9. IF Sudeste MG lança guia detalhado para comunidade acadêmica usar IA com ética e responsabilidade
  10. Componentes para Xbox ficam 5 vezes mais caros e Microsoft revê planos para o Project Helix
  11. Meta libera WhatsApp Plus no Brasil com teste grátis de 30 dias e recursos premium
  12. Samsung avança no desenvolvimento: Galaxy S27 surge em certificação inicial revelando detalhes do próximo topo de linha
  13. Controle DualSense do PlayStation 5 agora oferece feedback háptico via Bluetooth no PC graças a app de terceiros
  14. Instagram lança globalmente função “Seu algoritmo” para ajustar sugestões de conteúdo
  15. WhatsApp libera suporte para múltiplos perfis em iPhones e melhora a gestão da comunicação pessoal
  16. Marvel’s Wolverine da Insomniac: Análise detalha a aparente falta de identidade visual do herói
  17. IPO da SpaceX eleva fortuna de Elon Musk para US$ 1,1 trilhão, confirmando-o como primeiro trilionário do mundo
  18. Galaxy ganha indicador nativo de upload e download na barra de status com One UI 9
  19. Imagens de protetores de tela revelam distinções cruciais nos Galaxy Z Fold 8, Ultra e Flip
  20. iPad da Apple recebe desconto de US$ 50 e chega a tempo do Dia dos Pais com frete grátis
  21. Xiaomi revela cafeteira portátil Mijia com autonomia impressionante de até 400 expressos e dupla compatibilidade
  22. Capcom teria reiniciado produção de Resident Evil 0 Remake com equipe de sucesso por trás de títulos aclamados
  23. WWDC 2026: Apple detalha mais de 250 recursos inovadores para iOS 27, macOS e outros sistemas
  24. Assinantes do GTA+ garantem benefícios especiais em junho de 2026, incluindo um carro de luxo sem custo e a história de Grand Theft Auto V
  25. Fortnite recebe dancinha de Kevin O Chris em marco histórico para o funk brasileiro
  26. Vini Jr. estrela campanha global da Apple para AirPods Pro 3 com foco no cancelamento de ruído
  27. WhatsApp Business fora do ar nesta sexta-feira afeta usuários e empresas
  28. Como passar o Dia dos Namorados sem o Instagram e Facebook
  29. Atualização do WhatsApp vai exigir iOS 15.5 e desligará serviço em modelos mais antigos de iPhone
  30. Mais de 30 minutos sem Instagram e Facebook! O mundo está sem Feed e Story
  31. Como usar o Telegram quando o Facebook e o Instagram estiverem fora do ar em todo o mundo
  32. Instagram e Facebook fora do ar com erro 404 em massa no Downdetector em todo mundo
  33. Facebook fora do ar no mundo inteiro nesta manhã de 12 de junho de 2026
  34. Instagram fira fora do ar em pleno Dia dos Namorados e frustra milhões de usuários no Brasil e no mundo
  35. Downdetector fora do ar e páginas não encontradas reportam erro 404 no site oficial
  36. Instagram e Facebook fora do ar nesta sexta (12); confira outras redes sociais para não ficar desconectado
  37. Instagram fora do ar no mundo inteiro nesta manhã de 12 de junho de 2026
  38. Instagram e Downdetector registram instabilidade no Brasil nesta manhã de sexta-feira
  39. SpaceX expande Starlink com lançamento de 29 satélites em Cabo Canaveral e atrai olhares do mercado
  40. Compatibilidade do cartão d Card da Docomo com Google Pay chega para facilitar transações móveis
  41. WhatsApp adota a Trionda da Copa 2026 no lugar do emoji de bola e adiciona funcionalidades inéditas
  42. Nintendo Switch 2 recebe Elden Ring: Tarnished Edition e valor surpreende na eShop brasileira
  43. WhatsApp atualiza exigência e deixará de funcionar em iPhones com iOS desatualizado a partir de 2026
  44. Vivo Y31s 5G de 2026 apresenta Snapdragon, bateria duradoura e certificações de alta proteção
  45. Opções de Smartwatches Samsung Galaxy para amantes de relógios