A Microsoft corrigiu uma vulnerabilidade crítica no Outlook que pode ser explorada sem qualquer interação do utilizador, representando uma ameaça significativa para ambientes empresariais.
De acordo com a SecurityWeek, a falha, identificada como CVE-2026-40361, foi corrigida no âmbito do Patch Tuesday e afeta um componente DLL utilizado pelo Microsoft Word e Outlook.
Segundo a Microsoft, trata-se de uma vulnerabilidade de execução remota de código, mas investigadores alertam que o impacto poderá ser particularmente elevado devido à possibilidade de exploração “zero-click”.
O problema foi descoberto por Haifei Li, criador do sistema de deteção de zero-days Expmon, que comparou a falha à vulnerabilidade BadWinmail, descoberta há mais de uma década e considerada, na altura, um verdadeiro “enterprise killer”.
“Basta o utilizador ler ou pré-visualizar o email para o ataque ser desencadeado”, alertou Haifei Li.
De acordo com o investigador, a vulnerabilidade resulta de um problema “use-after-free” no motor de renderização de emails do Outlook, tornando difícil bloquear ou mitigar ataques.
Na prática, um atacante pode enviar um email especialmente criado e executar código remotamente no sistema da vítima sem necessidade de clicar em links ou anexos.
“Qualquer pessoa poderia comprometer um CEO ou CFO apenas enviando um email”, acrescentou o investigador.
A Microsoft classificou a probabilidade de exploração como “mais provável”, aumentando a urgência para aplicação das atualizações de segurança.
Apesar de Haifei Li indicar que apenas desenvolveu uma prova de conceito, e não um exploit totalmente funcional, o investigador alerta para a criatividade crescente dos grupos de ameaça.
Uma das poucas medidas de mitigação apontadas passa por configurar o Outlook para renderizar mensagens exclusivamente em texto simples.