O Project Zero da Google, a prestigiada equipa de elite dedicada à caça de vulnerabilidades, tornou pública uma falha de segurança que afeta as versões Insider do Windows 11. Seguindo a sua política rigorosa, a Google concede normalmente 90 dias aos fabricantes para corrigirem erros reportados de forma privada. Caso o prazo seja ultrapassado ou a solução seja considerada ineficaz, os detalhes são revelados para alertar a comunidade.
A Check Point Research (CPR), da Check Point Software Technologies, identificou uma vulnerabilidade crítica, catalogada como CVE-2025-61260, no OpenAI Codex CLI. Esta é uma ferramenta de linha de comandos que integra capacidades de IA generativa diretamente no fluxo de trabalho dos programadores. A falha permitia que atacantes introduzissem ficheiros de configuração aparentemente inofensivos em repositórios de código. No entanto, estes ficheiros executavam comandos maliciosos automaticamente, sem qualquer aviso, no momento em que um programador abrisse o projeto e utilizasse o Codex.
Foram descobertas duas falhas críticas no 7-Zip relacionadas ao processamento incorreto de links simbólicos em ficheiros ZIP, permitindo que atacantes executem código arbitrário remotamente. As vulnerabilidades, identificadas como CVE-2025-11002 e CVE-2025-11001, exploram uma falha de travessia de diretórios (directory traversal), que possibilita a extração de ficheiros para locais fora do diretório pretendido.
Foi descoberta uma vulnerabilidade no M365 Copilot que permitia aceder a informações de ficheiros sem que a atividade fosse registada nos audit logs. O problema surgiu de forma casual e não por via de um exploit complexo, mas representava um risco significativo, já que podia ser explorado por utilizadores maliciosos dentro das organizações sem deixar rasto, comprometendo a segurança, a conformidade legal e a resposta a incidentes.
Na semana passada foi lançada a versão WinRAR 7.13, trazendo a correção para uma grave vulnerabilidade de directory traversal, identificada como CVE-2025-8088. A falha, que estava a ser explorada ativamente por cibercriminosos, foi detalhada por investigadores da ESET que detetaram ataques em curso.
