Este mês a microsoft lançou correções para 57 falhas, incluindo 3 zero-days.

De destacar as falhas zero-day:

CVE-2025-62221 - Driver Windows Cloud Files Mini. Trata-se de uma falha de elevação de privilégios, severidade alta, a qual permite ao utilizador fazer escalada de privilégios local se explorada com sucesso.

CVE-2025-64671 - Execução de código remota no GitHub Copilot for Jetbrains. Há elementos especiais que não são neutralizados no comando do Copilot e que permitem ao utilizador não autenticado executar código localmente. A falha é explorável via Cross Prompt Injection em ficheiros externos ou servidores MCP.

CVE-2025-54100 - Execução de código remota no PowerShell. Scripts embutidos numa página web podiam ser executados se a página fosse ou o conteúdo da página fossem pedidos via Invoke-WebRequest, que é um módulo dentro do powershell que permite fazer pedidos http.

Soluções e correções

• Recorrer às atualizações automáticas ou seguir o guia oficial da microsoft

Referências:

Blogue da Microsoft: https://msrc.microsoft.com/update-guide

Guia da Microsoft para falhas zero-day: https://learn.microsoft.com/en-us/defender-vulnerability-management/tvm-zero-day-vulnerabilities?tabs=preview-customers%2Cpreview-customers-vulnerabilities

Mais informações técnicas: https://www.bleepingcomputer.com/news/microsoft/microsoft-december-2025-patch-tuesday-fixes-3-zero-days-57-flaws/