Há seis falhas de segurança no Windows, Internet Explorer e Word que já estão a ser exploradas por atacantes e que, no pior cenário, podem dar controlo total do teu PC. Se usas Windows 11, Windows 10 ou Microsoft 365, é importante instalar imediatamente as últimas atualizações disponibilizadas pela Microsoft.
As correções foram lançadas na última terça-feira (10), no tradicional pacote mensal de segurança da empresa.
O que está a acontecer com o Windows e o Word
A Microsoft corrigiu seis vulnerabilidades chamadas de “zero-day”. Em termos simples, isto significa falhas que já estavam a ser usadas por cibercriminosos, mas que não eram conhecidas publicamente e, por isso, não tiveram correção imediata.
Estas falhas afetam o Windows, o Internet Explorer e o Word, além de componentes como o Windows Shell, o Desktop Windows Manager e serviços de acesso remoto. Também foram resolvidos problemas em serviços como Azure, Defender, GitHub Copilot e NTLM, onde poderia haver execução de código malicioso ou brechas para fuga de informação.
Como observa o Heise, a agência de cibersegurança dos EUA (CISA) já incluiu estas seis falhas na sua lista de vulnerabilidades exploradas ativamente, o que reforça a gravidade das vulnerabilidades listadas.
Falha no Word pode ignorar alertas de segurança
Uma das vulnerabilidades mais preocupantes é a CVE-2026-21514, que afeta o Microsoft Word e estava a ser explorada ativamente por agentes mal-intencionados em ataques reais.
Esta falha permite que um documento malicioso ignore proteções importantes do Word. Normalmente, quando abres um ficheiro suspeito, o programa mostra avisos como “Vista Protegida” ou pede para “Ativar conteúdo”. Neste caso, estes alertas podem simplesmente não aparecer, como explica o Cibersecurity News.
Aproveitando esta vulnerabilidade, o criminoso envia um ficheiro Word manipulado, geralmente por e-mail de phishing. Se a vítima abrir o documento, o código malicioso pode ser executado sem avisos adicionais. Não são necessários privilégios especiais, apenas que o utilizador abra o ficheiro.
A falha afeta várias versões do Office, incluindo Microsoft 365 Apps for Enterprise (32 e 64 bits), Office LTSC 2021 e 2024 e até versões para Mac. A Microsoft já disponibilizou correções oficiais através das atualizações automáticas da aplicação.
Como funcionam estes ataques no dia a dia
Na maioria dos casos, o utilizador precisa de clicar em algo. Pode ser um link recebido por e-mail, SMS ou redes sociais, ou um anexo Word aparentemente inofensivo.
Num cenário típico, o atacante envia um e-mail que parece legítimo, como uma fatura, um currículo ou um documento urgente. Ao abrir o ficheiro ou clicar no link, a falha é explorada e o sistema fica comprometido.
Por isso, além de atualizar, continua a ser essencial desconfiar de anexos inesperados e links suspeitos.
Outras falhas em exploração: onde está o perigo
Entre as vulnerabilidades mais críticas está a CVE-2026-21510, que permite contornar o SmartScreen do Windows. O SmartScreen é aquele aviso que surge quando tentas abrir um ficheiro ou aplicação potencialmente perigosa. Se essa proteção for ignorada, um programa malicioso pode arrancar sem alerta. Para o ataque funcionar, no entanto, a vítima precisa de clicar num link preparado pelo atacante.
A CVE-2026-21519 e a CVE-2026-21533 são falhas de “elevação de privilégios”. Isto significa que alguém com acesso básico ao sistema pode ganhar permissões mais elevadas e assumir o controlo total do computador.
Já a CVE-2026-21525 afeta o acesso remoto do Windows e pode causar falhas e interrupções no serviço, enquanto a CVE-2026-21513 envolve o motor que o Windows usa para mostrar conteúdos HTML, permitindo que ficheiros maliciosos executem ações perigosas com um único clique.
Ameaça para utilizadores e empresas em Portugal
Empresas, escritórios de contabilidade, escolas, centros de formação e trabalhadores em home office que usam Windows e Microsoft 365 são potenciais alvos.
Se um ataque for bem-sucedido, as consequências podem ir desde bloqueio de ficheiros (ransomware, esquema de extorsão) até roubo de dados bancários ou informações de clientes.
O que tu deves fazer já para te proteger
Para o utilizador comum, a mensagem é simples: atualiza o Windows e o Office hoje mesmo. É a forma mais eficaz de fechar a porta a ataques que já estão em curso.
Para isso, verifica se o Windows Update está ativo:
-
No Windows 11, vai a Definições > Windows Update;
-
Confirma se há atualizações pendentes;
-
Instala tudo o que estiver disponível e reinicia o computador.
Se usas Microsoft 365 ou outra versão do Office, garante também que as atualizações do Office estão ativas. Em ambiente empresarial, vale a pena confirmar com o responsável de TI que todos os equipamentos estão atualizados.
Mais detalhes técnicos sobre as ameaças
Para as empresas, profissionais de TI e cibersegurança, a Microsoft disponibiliza mais informação técnica no Security Update Guide, recurso voltado sobretudo para administradores de sistemas.
