Investigadores da ESET dissecaram recentemente a vulnerabilidade CVE-2025-50165, uma falha crítica no Windows Imaging Component. O problema reside na forma como o sistema processa ficheiros JPG, um dos formatos mais universais do mundo digital. Inicialmente, o alerta causou apreensão devido à possibilidade teórica de execução remota de código (RCE), mas a análise detalhada revela que o risco para o utilizador comum é mais controlado do que se previa, uma vez que a falha não é ativada pela simples visualização da imagem.
O Project Zero da Google, a prestigiada equipa de elite dedicada à caça de vulnerabilidades, tornou pública uma falha de segurança que afeta as versões Insider do Windows 11. Seguindo a sua política rigorosa, a Google concede normalmente 90 dias aos fabricantes para corrigirem erros reportados de forma privada. Caso o prazo seja ultrapassado ou a solução seja considerada ineficaz, os detalhes são revelados para alertar a comunidade.
A Check Point Research (CPR), da Check Point Software Technologies, identificou uma vulnerabilidade crítica, catalogada como CVE-2025-61260, no OpenAI Codex CLI. Esta é uma ferramenta de linha de comandos que integra capacidades de IA generativa diretamente no fluxo de trabalho dos programadores. A falha permitia que atacantes introduzissem ficheiros de configuração aparentemente inofensivos em repositórios de código. No entanto, estes ficheiros executavam comandos maliciosos automaticamente, sem qualquer aviso, no momento em que um programador abrisse o projeto e utilizasse o Codex.
Foram descobertas duas falhas críticas no 7-Zip relacionadas ao processamento incorreto de links simbólicos em ficheiros ZIP, permitindo que atacantes executem código arbitrário remotamente. As vulnerabilidades, identificadas como CVE-2025-11002 e CVE-2025-11001, exploram uma falha de travessia de diretórios (directory traversal), que possibilita a extração de ficheiros para locais fora do diretório pretendido.
Foi descoberta uma vulnerabilidade no M365 Copilot que permitia aceder a informações de ficheiros sem que a atividade fosse registada nos audit logs. O problema surgiu de forma casual e não por via de um exploit complexo, mas representava um risco significativo, já que podia ser explorado por utilizadores maliciosos dentro das organizações sem deixar rasto, comprometendo a segurança, a conformidade legal e a resposta a incidentes.
