A Microsoft corrigiu uma vulnerabilidade crítica de execução remota de código (RCE) no Outlook que poderia permitir que invasores executassem código malicioso em sistemas vulneráveis.
A falha, rastreada como CVE-2025-62562, foi lançada em 9 de dezembro de 2025 e requer atenção imediata dos administradores de TI e usuários finais.
A vulnerabilidade decorre de uma vulnerabilidade de uso após liberação no Microsoft Office Outlook. De acordo com a classificação de vulnerabilidade da Microsoft, esta falha é classificada como Importante (pontuação CVSS: 7,8).
O vetor de ataque é local, o que significa que um invasor deve convencer um usuário a interagir com um e-mail malicioso para acionar a exploração.
Especificamente, um invasor envia um e-mail elaborado que induz o usuário a responder, acionando assim a cadeia de execução do código.
Vulnerabilidade do Microsoft Outlook
Ao contrário das vulnerabilidades típicas de execução remota de código, esta falha requer interação local na máquina da vítima.
O Painel de Visualização não é um vetor de ataque para esta vulnerabilidade específica. Um invasor precisa que um usuário responda manualmente a um e-mail especialmente criado para explorar a vulnerabilidade.
Este requisito de interação adiciona uma camada de dificuldade. No entanto, continua a ser uma ameaça prática em cenários do mundo real, onde as técnicas de engenharia social poderiam convencer os utilizadores a responder.
A vulnerabilidade afeta várias versões do Microsoft Office, incluindo o Microsoft Word 2016 (32 e 64 bits).
ProdutoVersões afetadasStatus de atualizaçãoMicrosoft Word 201632 bits e 64 bitsDisponível (KB5002806)Microsoft Office LTSC 202432 bits e 64 bitsDisponívelMicrosoft Office LTSC 202132 bits e 64 bitsDisponívelMicrosoft Office 201932 bits e 64 bitsDisponívelMicrosoft 365 Apps for Enterprise32 bits e 64 bitsDisponívelMicrosoft SharePoint Server 2019Todas as ediçõesDisponívelMicrosoft SharePoint Enterprise Server 2016Todas as ediçõesDisponívelMicrosoft Office LTSC para Mac 2024MacAinda não disponívelMicrosoft Office LTSC para Mac 2021MacAinda não disponível
Edições do Microsoft Office LTSC de 2019 a 2024, produtos Microsoft 365 Apps for Enterprise, Microsoft Office 2019 e Microsoft SharePoint Server.
As atualizações de segurança estão disponíveis para as versões mais afetadas, com número de compilação 16.0.5530.1000 para Word 2016.
A Microsoft confirmou que os patches de segurança estão disponíveis no Windows Update e no Centro de Download da Microsoft.
No entanto, as atualizações do Microsoft Office LTSC para Mac 2021 e 2024 não estão disponíveis imediatamente. Eles serão liberados o mais rápido possível.
A Microsoft diz que as organizações devem priorizar a instalação das atualizações de segurança disponíveis em todas as versões afetadas do Microsoft Office
Os administradores que gerenciam vários sistemas devem implantar patches nas edições de 32 e 64 bits de acordo com seus padrões de implantação.
Para sistemas sem disponibilidade imediata de patches, a Microsoft recomenda ter cautela com e-mails não solicitados e evitar responder a mensagens suspeitas.
A comunidade de segurança reconhece Haifei Li da EXPMON por descobrir e relatar esta vulnerabilidade por meio de divulgação coordenada. Até a publicação, não há evidências de exploração ativa ou divulgação pública do código de exploração.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
