Para este mês, a microsoft lançou patch para 172 vulnerabilidades, incluindo 4 falhas zero-day.

A mais severa é representada pelo CVE-2025-2884, resultando de uma validação fraca das funções de assinatura e criptografia na implementação do TCG TPM2.0.

Depois vem a do CVE-2025-47827 que permite aos atacantes fazer bypass do secure boot no IGEL OS através da exploração da verificação de assinatura, ou seja, podendo fazer montar imagens sem verificação, é possível montar filesystems maliciosos e que constituem persistência no sistema afetado.

De resto, tanto o CVE-2025-59234 como o CVE-2025-59236 são falhas no Microsoft Office e Excel, respetivamente, sendo que não precisam de autenticação, apenas que os utilizadores abram ficheiros maliciosos.

Solução

Atualizar recorrendo às atualizações automáticas ou seguindo o guia oficial da Microsoft

Mais detalhes técnicos: https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2025-patch-tuesday-fixes-6-zero-days-172-flaws/

Guia oficial da Microsoft: https://support.microsoft.com/en-us/topic/october-14-2025-security-only-update-for-net-framework-2-0-for-windows-server-2008-sp2-kb5066727-6e32759e-1112-48a6-9cc8-e17a2a81b13a