.png)
há 1 mês
13
A Microsoft confirmou que já mitigou mais de 970 vulnerabilidades de Cross-Site Scripting (XSS) desde janeiro de 2024 em diferentes serviços e aplicações. Apesar de ser uma falha conhecida há mais de 20 anos, o XSS continua a afetar desde sistemas legados até arquiteturas modernas baseadas em nuvem.
Leia também
Intel integra solução da Acronis em PCs com IA
Ataque desvia navegadores de IA para sites de phishing
Entre julho de 2024 e julho de 2025, o Microsoft Security Response Center (MSRC) tratou 265 casos específicos de XSS, sendo 263 classificados como importantes e dois como críticos. Nesse período, a empresa pagou mais de US$ 912 mil em recompensas para pesquisadores que reportaram as falhas, com o maior pagamento individual chegando a US$ 20 mil em um ataque de alto impacto, como roubo de tokens ou exploração zero-click.
As vulnerabilidades não ficaram restritas a um único produto. Foram identificadas em Microsoft Copilot, Microsoft 365, Dynamics 365, Microsoft Identity, Azure e Xbox. Muitas explorações envolviam formas de contornar a sanitização de dados e falhas em frameworks modernos de aplicações web.
O MSRC destacou que a gravidade depende do impacto real ao usuário. Falhas zero-click que expõem dados confidenciais, como cookies de sessão, são classificadas como críticas. Já os casos que exigem interação do usuário, mas ainda podem vazar informações sensíveis, são considerados importantes. Vulnerabilidades em páginas públicas sem dados confidenciais ou autoexploração (self-XSS) são classificadas como moderadas ou de baixo risco.
Segundo a Microsoft, vulnerabilidades que exigem execução manual no console do navegador, ou que só funcionam em navegadores desatualizados como o Internet Explorer, estão fora do escopo de correção. A empresa também publicou um checklist para submissão de relatórios de XSS, solicitando provas de conceito reproduzíveis e explicação clara do impacto em segurança, como sequestro de sessão ou roubo de tokens.
English (US) · 
Portuguese (BR) ·