A atualização de segurança de fevereiro da Microsoft é importante. Este último “Patch Tuesday” corrige 58 vulnerabilidades no total, seis das quais são falhas de dia zero. Como lembrete, um dia zero é uma vulnerabilidade que foi explorada ativamente ou divulgada publicamente antes que uma correção oficial fosse lançada pelo desenvolvedor.
Conforme relata o BleepingComputer, falhas de segurança foram encontradas nas seguintes categorias: 25 vulnerabilidades de elevação de privilégio, cinco vulnerabilidades de desvio de recursos de segurança, 12 vulnerabilidades de execução remota de código, seis vulnerabilidades de divulgação de informações, três vulnerabilidades de negação de serviço e sete vulnerabilidades de falsificação. Três das vulnerabilidades de elevação de privilégio e duas das vulnerabilidades de divulgação de informações são consideradas “críticas”. (Esses números não incluem as três vulnerabilidades do Microsoft Edge corrigidas no início de fevereiro.)
As atualizações do Patch Tuesday são normalmente lançadas por volta das 10h, horário do Pacífico, na segunda terça-feira de cada mês, e seu dispositivo deve recebê-las automaticamente. BleepingComputer relata que o lançamento deste mês também inclui atualizações de certificados de inicialização segura para certificados de 2011 que expiram em junho.
Seis dias zero corrigidos em fevereiro
Três dos seis dias zero explorados ativamente e corrigidos em fevereiro são vulnerabilidades de desvio de recursos de segurança:
-
CVE-2026-21510: Esta é uma falha no Shell do Windows que permite que um invasor execute conteúdo sem avisar ou obter o consentimento do usuário, embora o usuário precise abrir um link malicioso ou arquivo de atalho.
-
CVE-2026-21513: Esta vulnerabilidade do MSHTML Framework permite que um invasor não autorizado ignore um recurso de segurança em uma rede. A Microsoft não divulgou detalhes sobre como essa falha foi explorada.
-
CVE-2026-21514: Esta vulnerabilidade no Microsoft Word permite que um invasor ignore as mitigações de OLE no Microsoft 365 e no Microsoft Office depois que um usuário abre um arquivo malicioso do Office.
Todas as três falhas acima foram atribuídas ao Microsoft Threat Intelligence Center (MSTIC), Microsoft Security Response Center (MSRC), Office Product Group Security Team e Google Threat Intelligence Group, juntamente com um pesquisador anônimo para CVE-2026-21510 e CVE-2026-21514.
O que você acha até agora?
Dois dos dias zero são vulnerabilidades de elevação de privilégios. CVE-2026-21519 é uma falha do Desktop Windows Manager que permite que um invasor obtenha privilégios de SYSTEM, enquanto CVE-2026-21533 é uma falha do Windows Remote Desktop Services que permite que um invasor eleve privilégios localmente. O primeiro foi atribuído ao MSTIC e MSRC, enquanto o último foi descoberto pela Equipe de Pesquisa Avançada da CrowdStrike.
Finalmente, CVE-2026-21525 é uma vulnerabilidade de negação de serviço no Gerenciador de Conexão de Acesso Remoto do Windows que permite que um invasor não autorizado negue serviço localmente. Essa falha foi descoberta pela equipe de segurança ACROS com 0patch – teria sido encontrada em um repositório público de malware em dezembro de 2025.
