A Microsoft divulgou a 9 de junho de 2026 uma vulnerabilidade de segurança classificada como Importante no Microsoft Teams para Android. A falha, identificada como CVE-2026-42835, permite que um atacante autenticado exponha informação sensível remotamente, sem necessidade de interação por parte do utilizador. A correção está disponível através da Google Play Store.
O que está em causa
A vulnerabilidade tem origem numa neutralização inadequada de elementos especiais na saída utilizada por um componente downstream — classificada sob CWE-74 (Injection). Um atacante que a explore com sucesso consegue ler pequenas porções da memória heap do processo. Embora a quantidade de dados exposta possa parecer limitada, a memória heap pode conter informação sensível em tempo de execução, incluindo tokens de autenticação, dados de sessão ou credenciais em cache — o que torna a exposição parcial um risco real em ambientes empresariais.
Detalhes técnicos
A análise do perfil CVSS 3.1 da CVE-2026-42835 revela um conjunto de características que justificam a atenção imediata:
- Score base CVSS 3.1: 8.1 (score temporal: 7.1) — classificação Importante;
- Vetor de ataque: Rede (AV:N) — a vulnerabilidade é explorável remotamente através da internet;
- Complexidade do ataque: Baixa (AC:L) — não são necessários conhecimentos avançados sobre o sistema alvo; a exploração é repetível com um payload especialmente construído;
- Privilégios necessários: Baixos (PR:L) — qualquer utilizador autenticado, incluindo contas com privilégios reduzidos, pode potencialmente acionar a vulnerabilidade;
- Interação do utilizador: Nenhuma (UI:N);
- Impacto na Confidencialidade e Disponibilidade: Alto; sem impacto na Integridade.
Estado da exploração e correção
A Microsoft classifica esta vulnerabilidade como “Exploração Menos Provável” (Exploitation Less Likely). À data da divulgação, a falha não tinha sido tornada pública previamente e não havia registo de exploração ativa. O código de exploração é classificado como “Não Comprovado” (Unproven).
A Microsoft disponibilizou uma atualização de segurança através da Google Play Store. Utilizadores e administradores de sistemas são aconselhados a atualizar a aplicação de imediato através da listagem oficial do Microsoft Teams na Google Play.
A vulnerabilidade foi descoberta por Ofek Levin, da empresa Enclave, e reportada à Microsoft através do programa de divulgação coordenada de vulnerabilidades (Coordinated Vulnerability Disclosure).
Porque é que isto importa
O Microsoft Teams é uma das plataformas de comunicação empresarial mais utilizadas em Portugal e na Europa, incluindo em organizações abrangidas pelo Decreto-Lei n.º 125/2025 (transposição da NIS2). O facto de a vulnerabilidade afetar a versão Android — amplamente utilizada em dispositivos móveis de colaboradores que acedem a comunicações internas, ficheiros e reuniões — amplia o potencial impacto.
A possibilidade de exposição de tokens de autenticação ou dados de sessão a partir de um dispositivo móvel comprometido pode abrir caminho a movimentos laterais numa rede corporativa, especialmente em organizações que não implementam autenticação multifator ou que não segmentam o acesso a partir de dispositivos móveis.
A atualização deve ser tratada como prioritária, em particular em organizações que utilizam o Teams como canal central de comunicação e partilha de documentos sensíveis.
Esta informação tem caráter noticioso e baseia-se no aviso de segurança da Microsoft (MSRC), no Cyber Security News e em dados do National Vulnerability Database relativos à CVE-2026-42835, publicados a 9 e 12 de junho de 2026.