A Microsoft anunciou que, a partir de outubro de 2026, implementará uma atualização em sua Política de Segurança de Conteúdo (CSP) para bloquear scripts não autorizados durante o processo de autenticação do Entra ID. Essa medida visa permitir apenas a execução de scripts provenientes de domínios confiáveis da Microsoft, reforçando a proteção contra ataques de injeção de código.
A atualização se aplicará exclusivamente a experiências de login baseadas em navegador, especificamente para URLs que começam com “login.microsoftonline.com”. A Microsoft Entra External ID não será impactada por essa mudança. A iniciativa faz parte do programa Secure Future Initiative (SFI) da Microsoft, que busca proteger os usuários de ataques de cross-site scripting (XSS).
A empresa recomenda que as organizações testem seus fluxos de login antecipadamente para evitar problemas e sugere que evitem o uso de extensões de navegador que injetem código no processo de autenticação do Entra. Para identificar violações de CSP, os usuários podem utilizar a ferramenta de Console do navegador para verificar erros relacionados à execução de scripts.
Desde o lançamento do SFI em novembro de 2023, a Microsoft tem implementado diversas medidas de segurança, incluindo a adoção de autenticação multifator resistente a phishing, que já alcançou 99,6% de adesão. Outras mudanças incluem a migração de máquinas virtuais de assinatura do Entra ID para o Azure Confidential Compute e a descontinuação de serviços como o Active Directory Federation Services (ADFS).
Fonte:https://thehackernews.com/2025/11/microsoft-to-block-unauthorized-scripts.html
