Vulnerabilidade

Pesquisadores da Universidade da Califórnia e outras instituições descobriram uma vulnerabilidade em dispositivos Android da Google e Samsung, que pode ser explorada por meio de um ataque chamado ‘Pixnapping’. Este ataque permite que aplicativos maliciosos capturem códigos de autenticação de dois fatores (2FA), cronogramas do Google Maps e outros dados sensíveis sem o conhecimento do usuário. O método utiliza APIs do Android e um canal lateral de hardware, permitindo que um aplicativo malicioso intercepte dados de outros aplicativos, mesmo sem permissões especiais. O ataque foi testado em cinco dispositivos com Android entre as versões 13 e 16, mas a metodologia pode ser aplicada a todos os dispositivos Android. O Google já está ciente da vulnerabilidade, identificada como CVE-2025-48561, e lançou patches em setembro de 2025. No entanto, um método alternativo para reativar o ataque foi descoberto, e a empresa está trabalhando em uma solução definitiva. A vulnerabilidade também permite que atacantes verifiquem se aplicativos específicos estão instalados no dispositivo, contornando restrições implementadas nas versões mais recentes do Android.

A fabricante de chips AMD divulgou correções para uma vulnerabilidade de segurança conhecida como RMPocalypse, que pode ser explorada para comprometer as garantias de computação confidencial oferecidas pela Virtualização Segura Encriptada com Paginação Aninhada Segura (SEV-SNP). Pesquisadores da ETH Zürich identificaram que a falha permite a execução de uma única gravação de memória na tabela de Reverse Map Paging (RMP), uma estrutura que armazena metadados de segurança para todas as páginas de DRAM no sistema. A vulnerabilidade, classificada como CVE-2025-0033, resulta de uma condição de corrida durante a inicialização do Processador Seguro da AMD (PSP), que pode permitir que um hipervisor malicioso manipule o conteúdo inicial da RMP, comprometendo a integridade da memória dos convidados SEV-SNP. A exploração bem-sucedida dessa falha pode permitir que atacantes acessem informações sensíveis e manipulem o ambiente de máquinas virtuais. A AMD confirmou que os processadores EPYC 7003, 8004, 9004 e 9005 estão entre os afetados, e atualizações de BIOS estão sendo preparadas para mitigar a vulnerabilidade. A Microsoft e a Supermicro também estão trabalhando em soluções para seus sistemas afetados.

No dia 14 de outubro de 2025, o Windows 10 entra na fase de ‘Fim de Vida’ (End of Life), o que significa que a Microsoft não fornecerá mais suporte oficial para este sistema operacional. Isso implica a interrupção de atualizações, correções de bugs e, principalmente, patches de segurança, deixando milhões de usuários vulneráveis a ameaças cibernéticas. Apesar de já ter mais de uma década, o Windows 10 ainda é utilizado por uma grande base de usuários, e a Microsoft está incentivando a migração para o Windows 11. Além disso, empresas concorrentes, como a Apple, estão aproveitando essa transição para atrair usuários do Windows 10. Para ajudar os usuários a entenderem os riscos associados à permanência no Windows 10, a Microsoft disponibiliza ferramentas que permitem verificar a compatibilidade do hardware para a atualização. O artigo também oferece um blog ao vivo com opiniões de especialistas e dicas para facilitar a transição. A falta de suporte pode resultar em um aumento significativo de vulnerabilidades, tornando essencial que os usuários considerem a atualização para garantir a segurança de seus sistemas.

Pesquisadores de segurança revelaram uma vulnerabilidade crítica no framework Guardrails da OpenAI, que pode ser explorada através de métodos simples de injeção de prompt. Essa técnica permite que atacantes manipulem os modelos de linguagem que deveriam garantir a segurança do comportamento da IA, possibilitando a inserção de conteúdo malicioso sem ser detectado. O Guardrails, introduzido em 6 de outubro, utiliza modelos de linguagem como ‘juízes’ para avaliar a segurança de entradas e saídas, mas a pesquisa mostrou que essa abordagem cria um ciclo de segurança ‘cega’. Os atacantes podem enganar esses juízes, manipulando os limiares de confiança e permitindo a execução de instruções perigosas. Os métodos de bypass demonstrados incluem a inserção de instruções maliciosas em templates que imitam avaliações aprovadas e a ocultação de código malicioso em comentários HTML. Essa vulnerabilidade, classificada como ‘composta’, sugere que os juízes baseados em LLM são tão suscetíveis à manipulação quanto os modelos que protegem. Para mitigar esses riscos, as organizações devem implementar defesas em camadas e sistemas de validação independentes, além de monitoramento contínuo.

A Clevo, fabricante de hardware, acidentalmente divulgou chaves privadas utilizadas em sua implementação do Intel Boot Guard, resultando em uma vulnerabilidade crítica. Essa falha, identificada como VU#538470, permite que atacantes assinem e implantem firmware malicioso que é aceito pelo sistema durante as fases iniciais de inicialização. O Intel Boot Guard é projetado para verificar o bloco de inicialização inicial antes da inicialização do UEFI, garantindo que apenas firmware autenticado seja executado. No entanto, a inclusão acidental das chaves de assinatura no pacote de atualização UEFI compromete essa cadeia de confiança. Com acesso ao armazenamento de firmware, um invasor pode manipular e assinar uma imagem de firmware, permitindo que ela passe pela verificação do Boot Guard sem alertas de segurança. Isso compromete todo o processo de inicialização segura, tornando ineficazes outras defesas subsequentes, como verificações de integridade do sistema operacional. A Clevo já removeu o pacote comprometido, mas não forneceu orientações específicas de remediação. Administradores de sistemas devem identificar dispositivos afetados, ativar mecanismos de proteção contra gravação de firmware e garantir que as atualizações sejam obtidas de canais verificados.

A Elastic lançou uma atualização de segurança urgente para o Elastic Cloud Enterprise (ECE) devido a uma vulnerabilidade crítica de injeção no motor de templates Jinjava, identificada como CVE-2025-37729, com uma pontuação CVSSv3.1 de 9.1. Essa falha afeta as versões 2.5.0 a 3.8.1 e 4.0.0 a 4.0.1 do ECE, permitindo que administradores autenticados executem comandos arbitrários e exfiltratem dados sensíveis. A vulnerabilidade ocorre quando um administrador submete um plano de implantação com variáveis Jinjava manipuladas, que são avaliadas e executadas pela plataforma. Se o recurso de Logging+Metrics estiver ativado, a saída dos comandos injetados é registrada, criando um canal de feedback para os atacantes. A Elastic recomenda que os clientes atualizem para as versões 3.8.2 ou 4.0.2 imediatamente, pois não existem alternativas de mitigação. Além disso, sugere que os administradores monitorem os logs de requisições em busca de nomes de payloads suspeitos e revisem os pipelines de Logging+Metrics para identificar atividades incomuns. A falha representa um risco significativo, pois permite controle total sobre o processo de interpretação de templates, comprometendo a confidencialidade, integridade e disponibilidade dos dados.

A Ivanti divulgou a correção de treze vulnerabilidades críticas em sua linha de produtos Endpoint Manager (EPM), que incluem falhas de desserialização insegura, travessia de caminho e uma série de vulnerabilidades de injeção SQL. Embora não haja relatos de exploração ativa, duas falhas foram classificadas como de alta severidade, sendo a mais crítica a CVE-2025-11622, que permite a escalada de privilégios por um usuário local autenticado. A segunda, CVE-2025-9713, é uma vulnerabilidade de travessia de caminho que pode ser explorada por um atacante não autenticado para execução remota de código, desde que um arquivo de configuração malicioso seja importado. As demais falhas são relacionadas à injeção SQL, permitindo que usuários autenticados recuperem registros arbitrários do banco de dados. A Ivanti recomenda que os clientes migrem do EPM 2022, que chegou ao fim da vida útil, para o EPM 2024 e implementem medidas provisórias até que os patches completos sejam disponibilizados. As atualizações estão programadas para serem lançadas em novembro de 2025 e no primeiro trimestre de 2026.

Recentemente, a equipe de segurança do Microsoft Edge revelou que cibercriminosos estão explorando vulnerabilidades não corrigidas no modo legado do Internet Explorer (IE) dentro do navegador Edge para comprometer ambientes Windows. Essa exploração, identificada em agosto de 2025, ocorre devido à combinação de compatibilidade com tecnologias legadas e fluxos de trabalho modernos de navegação. Muitas empresas ainda dependem de sistemas desatualizados, como controles ActiveX e Flash, que o Edge mantém para garantir a funcionalidade durante a modernização. Os atacantes utilizam táticas de engenharia social, como phishing, para direcionar as vítimas a sites falsos que parecem oficiais. Ao ativar o modo IE, eles conseguem executar código malicioso através de uma vulnerabilidade zero-day no motor JavaScript Chakra. A Microsoft respondeu removendo pontos de acesso fáceis para reativar o modo IE, exigindo que os usuários ativem manualmente essa funcionalidade. A empresa recomenda a transição para tecnologias modernas para melhorar a segurança e o desempenho, uma vez que o Internet Explorer 11 atingiu o fim da vida útil em junho de 2022.

Pesquisadores da Trend Micro descobriram uma vulnerabilidade grave na Axis Communications, que resultou na exposição de credenciais de contas do Azure Storage. Essa falha estava presente em múltiplos DLLs assinados utilizados em um plugin oficial da Axis para o Autodesk® Revit®. As credenciais, que estavam hardcoded, permitiam acesso total aos conteúdos armazenados, incluindo instaladores e arquivos de modelo utilizados por clientes para integrar dispositivos Axis ao Revit. A descoberta levantou preocupações sobre riscos na cadeia de suprimentos, uma vez que atacantes poderiam modificar ou carregar instaladores maliciosos. Embora a Axis tenha lançado versões subsequentes do plugin para mitigar a vulnerabilidade, as correções iniciais foram insuficientes, permitindo que as credenciais expostas ainda fossem acessíveis. A situação foi finalmente resolvida na versão 25.3.718, quando as credenciais legadas foram invalidadas. Além disso, foram identificadas falhas de execução remota de código no parser de arquivos RFA do Revit, que poderiam ser exploradas caso arquivos maliciosos fossem carregados. A Axis confirmou que todas as vulnerabilidades foram corrigidas e que não houve acesso não autorizado.

A Microsoft anunciou uma atualização significativa no modo Internet Explorer (IE) de seu navegador Edge, em resposta a relatos de que atores de ameaças estavam explorando essa funcionalidade para acessar dispositivos de usuários de forma não autorizada. Segundo a equipe de Pesquisa de Vulnerabilidades de Navegadores da Microsoft, os atacantes utilizavam técnicas de engenharia social e exploits não corrigidos no motor JavaScript do Internet Explorer, chamado Chakra, para comprometer dispositivos.

Pesquisadores de segurança identificaram vulnerabilidades críticas na infraestrutura de comunicação em nuvem do Microsoft Defender for Endpoint, que permitem a invasores contornar mecanismos de autenticação e manipular operações de resposta a incidentes. A análise das componentes do agente de detecção e resposta a endpoint (EDR), como MsSense.exe e SenseIR.exe, revelou falhas na validação de tokens de autenticação. Isso possibilita que atacantes interceptem comandos de segurança e até mesmo enviem dados falsificados para armazenamento em nuvem, comprometendo a integridade das investigações. Os atacantes podem explorar a falta de controle de autenticação para obter tokens válidos e executar ações maliciosas, como relatar estados de isolamento falsos ou carregar arquivos maliciosos disfarçados. Embora a Microsoft tenha classificado essas falhas como de baixa severidade, a falta de correções claras e a possibilidade de acesso não autorizado a dados de configuração de resposta a incidentes levantam preocupações significativas. Especialistas recomendam que equipes de segurança implementem medidas defensivas imediatas, como monitoramento de padrões de comando e validação de estados de isolamento, até que a Microsoft resolva as vulnerabilidades.

No último sábado, a Oracle emitiu um alerta de segurança sobre uma nova vulnerabilidade em seu E-Business Suite, identificada como CVE-2025-61884, que pode permitir acesso não autorizado a dados sensíveis. Com uma pontuação CVSS de 7.5, a falha afeta versões do software que vão de 12.2.3 a 12.2.14. Segundo a descrição na base de dados de vulnerabilidades do NIST, a vulnerabilidade é facilmente explorável por um atacante não autenticado que tenha acesso à rede via HTTP, comprometendo o Oracle Configurator. Embora a Oracle não tenha relatado que a falha esteja sendo explorada ativamente, a empresa enfatizou a importância de aplicar a atualização de segurança o mais rápido possível. O Chief Security Officer da Oracle, Rob Duhart, destacou que a vulnerabilidade pode ser utilizada para acessar recursos sensíveis. O alerta surge após a divulgação de que várias organizações podem ter sido afetadas por uma exploração de zero-day em outra vulnerabilidade do E-Business Suite, CVE-2025-61882, que permitiu a instalação de malwares como GOLDVEIN.JAVA e SAGEGIFT. A situação é preocupante, especialmente considerando a possibilidade de que os ataques estejam ligados a um grupo de hackers associado ao ransomware Cl0p.

A Google decidiu não corrigir uma vulnerabilidade de segurança em sua ferramenta de inteligência artificial, Gemini, que permite a execução de códigos maliciosos ocultos em textos invisíveis. Essa técnica, conhecida como ASCII smuggling, utiliza caracteres especiais do Unicode para inserir comandos maliciosos na LLM (Large Language Model) sem que o usuário perceba. Embora a falha não seja nova, os riscos aumentaram com a maior autonomia e acesso a dados sensíveis que assistentes como o Gemini possuem. O pesquisador de segurança Viktor Markopoulos, da FireTail, testou várias ferramentas de IA e encontrou vulnerabilidades semelhantes em algumas delas, mas não em outras como Claude, ChatGPT e Microsoft Copilot, que possuem validação de dados de entrada. A Google, ao ser informada sobre a vulnerabilidade, minimizou o problema, alegando que ele só poderia ser explorado por meio de engenharia social. No entanto, a possibilidade de que convites de calendário e e-mails no Google Workspace possam incluir códigos maliciosos representa um risco significativo, pois esses códigos podem instruir as LLMs a acessar dados sensíveis do dispositivo da vítima e enviá-los aos atacantes.

Uma nova vulnerabilidade crítica, identificada como CVE-2025-11371, foi descoberta no software Gladinet CentreStack e Triofox, permitindo a execução remota de código (RCE) por atacantes. Apesar de a versão mais recente do software, posterior à 16.4.10315.56368, ser considerada segura contra a vulnerabilidade CVE-2025-30406, a exploração de uma falha de Inclusão de Arquivo Local (LFI) está em andamento. Os atacantes conseguiram extrair uma chave de máquina do arquivo Web.config da aplicação, o que possibilitou a execução de código malicioso com privilégios de sistema. A Huntress, responsável pela detecção, alertou que a exploração ocorre rapidamente, com a transição de acesso não autorizado para a execução de código em questão de minutos. Embora a Gladinet tenha sido informada sobre a vulnerabilidade, ainda não há um patch oficial para a CVE-2025-11371. A Huntress recomenda que as organizações desativem o manipulador temporário no arquivo Web.config como uma medida imediata de mitigação, a fim de evitar a exploração. A situação é crítica, pois três casos de comprometimento real já foram documentados, e a falta de um patch oficial aumenta o risco para as empresas que utilizam essas soluções.

A Fortra divulgou os resultados de sua investigação sobre a vulnerabilidade CVE-2025-10035, uma falha crítica no GoAnywhere Managed File Transfer (MFT), que está sendo explorada ativamente desde pelo menos 11 de setembro de 2025. A investigação foi iniciada após um cliente relatar uma ‘potencial vulnerabilidade’, levando a Fortra a identificar atividades suspeitas relacionadas à falha. A empresa notificou clientes que tinham o console administrativo do GoAnywhere acessível na internet e também alertou as autoridades policiais. Um hotfix foi disponibilizado no dia seguinte, e versões completas com o patch foram lançadas em 15 de setembro. A Fortra destacou que o risco é limitado a clientes com o console administrativo exposto, mas admitiu que há relatos de atividades não autorizadas associadas à vulnerabilidade. A CVE-2025-10035 refere-se a uma vulnerabilidade de desserialização no License Servlet, que pode resultar em injeção de comandos sem autenticação. A Microsoft informou que um grupo de ameaças, identificado como Storm-1175, está explorando essa falha para implantar ransomware Medusa. A Fortra recomenda que os usuários restrinjam o acesso ao console administrativo pela internet e mantenham o software atualizado.

A campanha de botnet RondoDox, identificada pela Trend Micro, tem se expandido para explorar mais de 50 vulnerabilidades em dispositivos de rede expostos à internet, como roteadores, sistemas de CFTV e servidores web. Desde sua primeira detecção em junho de 2025, a RondoDox tem utilizado uma abordagem de ‘shotgun exploit’, atacando múltiplas falhas simultaneamente. As vulnerabilidades exploradas incluem a CVE-2023-1389, que permite injeção de comandos em roteadores TP-Link, e outras como CVE-2024-3721 e CVE-2024-12856, que afetam DVRs e roteadores de diferentes fabricantes. A análise técnica revelou que 50% das falhas exploradas são de injeção de comandos, enquanto as demais incluem problemas de travessia de caminho e corrupção de memória. A campanha representa um risco elevado para organizações que operam dispositivos de rede expostos, permitindo a exfiltração de dados e comprometimento persistente da rede. A rápida evolução das técnicas de exploração exige que as empresas realizem atualizações imediatas e adotem medidas proativas de segurança.

A empresa de cibersegurança Huntress identificou a exploração ativa de uma vulnerabilidade zero-day nos produtos Gladinet CentreStack e TrioFox. A falha, classificada como CVE-2025-11371, possui um CVSS de 6.1 e permite a inclusão local de arquivos não autenticados, resultando na divulgação não intencional de arquivos do sistema. Todas as versões do software anteriores e incluindo a 16.7.10368.56560 estão afetadas. A Huntress detectou a atividade pela primeira vez em 27 de setembro de 2025, com três clientes impactados até o momento. Essa vulnerabilidade se conecta a uma falha anterior, CVE-2025-30406, que permitia a execução remota de código. A recomendação imediata para os usuários é desabilitar o manipulador “temp” no arquivo Web.config, embora isso possa afetar algumas funcionalidades da plataforma. A Huntress está retendo detalhes adicionais da falha devido à exploração ativa e à falta de um patch disponível.

O uso de VPNs gratuitas, que antes eram vistas como ferramentas de proteção online, agora levanta sérias preocupações sobre a privacidade dos usuários. Um estudo da Zimperium zLabs revelou que muitas dessas aplicações solicitam permissões excessivas e utilizam códigos desatualizados, expondo os usuários a riscos de vigilância. Algumas VPNs pedem acesso a informações sensíveis, como logs do sistema e localização em tempo real, o que pode transformá-las em ferramentas de espionagem. Além disso, muitas dessas aplicações ainda utilizam bibliotecas OpenSSL vulneráveis, como a que foi afetada pelo bug Heartbleed de 2014, e não validam corretamente os certificados, aumentando o risco de ataques man-in-the-middle. A pesquisa não revelou quais aplicativos estão envolvidos, deixando os usuários em uma posição vulnerável ao escolherem serviços gratuitos. Para garantir a segurança, é aconselhável optar por provedores que realizam auditorias independentes e que têm políticas de privacidade transparentes, evitando permissões invasivas.

Um novo exploit de prova de conceito, denominado Fenrir, foi divulgado, visando uma falha crítica de lógica no processo de inicialização segura dos dispositivos Nothing Phone (2a) e CMF Phone 1. A vulnerabilidade permite que um atacante contorne a autenticação da partição bl2_ext, quebrando a cadeia de confiança e possibilitando a execução de código arbitrário no nível de privilégio mais alto (EL3) em sistemas ARM. Essa falha ocorre devido a um erro na cadeia de inicialização segura da MediaTek, que faz com que o Preloader ignore a verificação da partição bl2_ext quando o bootloader está desbloqueado. Isso significa que qualquer imagem de inicialização pode ser carregada sem validação, permitindo que um invasor desative as proteções de inicialização segura e obtenha controle total do dispositivo. A pontuação CVSS 3.1 para essa vulnerabilidade é de 9.8, indicando um risco crítico. Os usuários afetados devem evitar desbloquear seus bootloaders até que correções oficiais sejam disponibilizadas, e os fabricantes devem atualizar a lógica de verificação de inicialização segura para reforçar as verificações da bl2_ext, mesmo em estado desbloqueado.

Recentemente, a CrowdStrike identificou duas vulnerabilidades críticas em seu software Falcon, designadas como CVE-2025-42701 e CVE-2025-42706. Ambas as falhas afetam exclusivamente as versões do Falcon para Windows e permitem que atacantes, que já tenham conseguido executar código no sistema, excluam arquivos arbitrários. A CVE-2025-42701 é uma vulnerabilidade de condição de corrida (TOCTOU) com um escore CVSS de 5.6, enquanto a CVE-2025-42706 envolve um erro lógico relacionado à validação de origem, com um escore CVSS de 6.5. A CrowdStrike lançou patches para várias versões do Falcon, incluindo a versão 7.29 e hotfixes para versões anteriores, garantindo que os usuários possam se proteger contra essas falhas. A empresa não encontrou evidências de exploração ativa dessas vulnerabilidades, mas recomenda que os clientes atualizem seus sistemas para evitar possíveis ataques que possam comprometer a estabilidade do software e do sistema operacional. A atualização é essencial para manter uma postura de segurança robusta e prevenir a exclusão de arquivos críticos.

Uma vulnerabilidade crítica, identificada como CVE-2025-5947, está sendo explorada ativamente por agentes maliciosos, afetando o tema WordPress Service Finder. Essa falha de segurança permite que atacantes não autenticados acessem qualquer conta de usuário, incluindo administradores, comprometendo o controle de sites vulneráveis. A vulnerabilidade se origina de uma falha de validação do valor do cookie do usuário durante uma função de troca de conta, permitindo que um invasor se logue como qualquer usuário. O problema afeta todas as versões do tema até a 6.0 e foi corrigido em 17 de julho de 2025, com a liberação da versão 6.1. Desde 1º de agosto de 2025, foram detectadas mais de 13.800 tentativas de exploração, embora a taxa de sucesso ainda não seja clara. Administradores de sites são aconselhados a auditar suas plataformas em busca de atividades suspeitas e garantir que todos os plugins e temas estejam atualizados.

Uma pesquisa da Zimperium zLabs analisou 800 aplicativos de VPN gratuitos para Android e iOS, revelando falhas críticas de segurança. Muitos desses aplicativos apresentam comportamentos maliciosos, como vazamento de dados pessoais e falta de privacidade. Três aplicativos ainda utilizam uma versão desatualizada da biblioteca OpenSSL, tornando os usuários vulneráveis ao bug Heartbleed, que permite acesso remoto a informações sensíveis. Além disso, 1% dos aplicativos analisados são suscetíveis a ataques man-in-the-middle, possibilitando a interceptação de dados. A pesquisa também destacou problemas de permissões excessivas, como um aplicativo de iOS que solicita acesso à localização o tempo todo, o que é desnecessário para uma VPN. A falta de transparência é um problema recorrente, com 25% dos aplicativos na App Store não apresentando um manifesto de privacidade válido. Essa situação é preocupante, especialmente para empresas que adotam políticas de BYOD (Bring Your Own Device), pois os dispositivos pessoais podem comprometer a segurança dos sistemas internos.

O Google apresentou o CodeMender, um agente autônomo impulsionado por inteligência artificial, que tem como objetivo detectar, corrigir e proteger proativamente o código de software. Utilizando modelos de aprendizado profundo e análise rigorosa de programas, o CodeMender não apenas responde a novas vulnerabilidades, mas também reescreve códigos existentes para eliminar falhas de segurança. Nos últimos seis meses, a equipe de pesquisa integrou 72 correções de segurança em projetos de código aberto, abrangendo bases de código com mais de 4,5 milhões de linhas. O modelo Gemini Deep Think, que fundamenta o CodeMender, analisa a semântica do código e o fluxo de controle para identificar as causas raízes das vulnerabilidades. O agente gera correções que tratam problemas como gerenciamento inadequado de memória e estouros de buffer, garantindo que apenas correções de alta qualidade sejam submetidas a revisores humanos. Além disso, o CodeMender aplica anotações de segurança proativas, como -fbounds-safety, que previnem estouros de buffer em bibliotecas inteiras. Embora os resultados iniciais sejam promissores, o Google está adotando uma abordagem cautelosa, revisando todas as correções geradas antes de sua implementação em projetos críticos de código aberto.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica, identificada como CVE-2025-53967, no servidor Model Context Protocol (MCP) do Figma, que pode permitir a execução remota de código. Com uma pontuação CVSS de 7.5, a falha é um erro de injeção de comando causado pelo uso não sanitizado de entradas de usuários, possibilitando que atacantes enviem comandos arbitrários ao sistema. O problema reside na construção de comandos de linha de comando que utilizam diretamente entradas não validadas, o que pode levar à injeção de metacaracteres de shell. A exploração pode ocorrer quando um cliente MCP envia requisições ao servidor, permitindo que um ator malicioso execute comandos indesejados. A vulnerabilidade foi descoberta pela Imperva em julho de 2025 e corrigida na versão 0.6.3 do MCP, lançada em 29 de setembro de 2025. É recomendado evitar o uso de child_process.exec com entradas não confiáveis e optar por child_process.execFile para mitigar riscos. Este incidente destaca a necessidade de que as ferramentas de desenvolvimento impulsionadas por IA sejam acompanhadas de considerações de segurança adequadas.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta urgente sobre uma vulnerabilidade zero-day de cross-site scripting (XSS) no Zimbra Collaboration Suite (ZCS), que está sendo ativamente explorada por agentes maliciosos. Essa falha permite que atacantes sequestram sessões de usuários, roubem dados sensíveis e manipulem filtros de e-mail sem a necessidade de privilégios elevados. A vulnerabilidade se origina da sanitização insuficiente de conteúdo HTML em arquivos de convite de calendário (ICS) visualizados na interface Classic Web Client. Um atacante pode criar uma entrada ICS maliciosa que embute código JavaScript, que é executado quando um usuário desavisado abre o e-mail com o anexo comprometido. A CISA adicionou essa falha ao seu Catálogo de Vulnerabilidades Conhecidas em 7 de outubro de 2025, atribuindo um prazo de ação até 28 de outubro de 2025. Com um CVSS de 7.5, a vulnerabilidade é considerada de alta severidade. Os administradores do ZCS são aconselhados a aplicar patches disponíveis ou seguir estratégias de mitigação imediatas para evitar acessos não autorizados e possíveis vazamentos de dados. A recomendação inclui a revisão de políticas de anexos de e-mail e a educação dos usuários sobre os riscos associados a convites de calendário inesperados.

Em outubro de 2025, a Google lançou uma atualização crítica para o Chrome, abordando três falhas de manipulação de memória que podem permitir a execução de código arbitrário por atacantes. As versões afetadas incluem o Chrome 141.0.7390.65/.66 para Windows e macOS, e 141.0.7390.65 para Linux. As vulnerabilidades, identificadas como CVE-2025-11458, CVE-2025-11460 e CVE-2025-11211, foram descobertas por pesquisadores externos através do programa de recompensas da Google, com recompensas variando de $3.000 a $5.000. A primeira falha, um estouro de buffer, permite que um atacante execute código malicioso ao enviar dados de sincronização manipulados. A segunda, um uso após a liberação, pode causar corrupção de memória ao acessar um objeto de armazenamento liberado prematuramente. A terceira falha envolve uma leitura fora dos limites na API WebCodecs, que pode levar à corrupção de dados. Os usuários são aconselhados a garantir que suas versões do Chrome estejam atualizadas, e administradores devem implementar a atualização em dispositivos gerenciados imediatamente.

Pesquisadores de segurança cibernética divulgaram uma vulnerabilidade crítica chamada ‘UniPwn’ que afeta robôs da Unitree, incluindo os modelos G1, Go2 e B2. Essa falha permite acesso remoto com privilégios de root, explorando uma combinação de chaves criptográficas hardcoded, handshakes fracos e execução insegura de comandos. A vulnerabilidade permite que um dispositivo comprometido receba comandos via conexões sem fio, possibilitando a movimentação lateral entre robôs próximos. Embora a pesquisa indique que a exploração pode ter um comportamento ‘wormable’, o que significa que o código malicioso pode se propagar, a propagação real depende de fatores como configuração do dispositivo e práticas operacionais. O estudo também destaca a urgência de mitigações, já que técnicas de jailbreak em robôs com inteligência artificial podem ser combinadas com essa vulnerabilidade, aumentando a superfície de ataque. A situação exige atenção imediata dos fabricantes e operadores para evitar possíveis danos.

Uma vulnerabilidade zero-day na plataforma Zimbra Collaboration, que integra e-mail, calendários e chats, deixou instituições militares brasileiras vulneráveis a ciberataques em 2025. Identificada como CVE-2025-27915, a falha estava relacionada a scripts entre sites (XSS) no cliente web Classic, permitindo a execução de códigos JavaScript maliciosos através de arquivos ICS de calendário. Embora a Zimbra tenha lançado patches para corrigir a brecha, a exposição anterior pode ter comprometido dados sensíveis. Relatórios indicam que hackers desconhecidos tentaram invadir militares brasileiros utilizando arquivos ICS maliciosos, que continham códigos projetados para roubar informações e redirecionar e-mails para endereços controlados por criminosos. O ataque, que não foi confirmado como bem-sucedido, destaca a necessidade de vigilância contínua e atualizações de segurança em sistemas amplamente utilizados, como o Zimbra, que é comum em diversas organizações no Brasil.

Uma vulnerabilidade crítica de execução remota de código (RCE) no Redis, identificada como CVE-2025-49844, expõe uma falha perigosa na imagem oficial do contêiner Redis, que passou despercebida por mais de uma década. Essa falha permite que atacantes não autenticados explorem uma vulnerabilidade de uso após a liberação na engine de scripts Lua do Redis, possibilitando a execução de código arbitrário no sistema host. Com a imagem oficial do Redis sendo utilizada em 57% dos ambientes em nuvem e sem autenticação por padrão, instâncias expostas à internet se tornam alvos fáceis para agentes maliciosos. O processo de exploração, denominado “RediShell”, envolve o envio de scripts Lua maliciosos que contornam os mecanismos de sandboxing, levando à corrupção de memória e à execução de código. Uma vez que o controle é estabelecido, os atacantes podem roubar chaves SSH, tokens IAM e implantar backdoors. A vulnerabilidade foi reportada pela primeira vez em maio de 2025 e um aviso de segurança foi publicado em outubro de 2025, destacando a urgência de atualização das instâncias do Redis. Organizações devem priorizar a aplicação de patches e a implementação de medidas de autenticação robustas para evitar possíveis violações de dados e compromissos de sistemas.

Uma vulnerabilidade crítica (CVE-2025-61882) no Oracle E-Business Suite (EBS) está sendo ativamente explorada, levando o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) a alertar as organizações para a aplicação imediata de controles mitigatórios. Essa falha de execução remota de código não autenticada está presente no componente de Integração do BI Publisher do Oracle Concurrent Processing e pode resultar em comprometimento total do sistema. Não é necessária interação do usuário, e os atacantes podem ativar a vulnerabilidade enviando requisições HTTP especialmente elaboradas. A Oracle lançou uma atualização de segurança que corrige essa falha, afetando as versões do EBS de 12.2.3 a 12.2.14. O NCSC recomenda que as organizações realizem uma avaliação abrangente de comprometimento e apliquem a atualização crítica de outubro de 2023. A exposição direta do EBS à internet aumenta significativamente o risco, e a proteção de redes internas deve ser reforçada para evitar movimentos laterais de atacantes. O NCSC também oferece orientações sobre gerenciamento de vulnerabilidades e segurança de perímetro de rede, além de um serviço de alerta antecipado para ameaças emergentes.

A CrowdStrike atribuiu com confiança moderada a exploração de uma vulnerabilidade crítica no Oracle E-Business Suite ao grupo de ameaças conhecido como Graceful Spider (ou Cl0p). A falha, identificada como CVE-2025-61882, possui um escore CVSS de 9.8 e permite a execução remota de código sem autenticação. O primeiro registro de exploração ocorreu em 9 de agosto de 2025. A vulnerabilidade facilita ataques que podem levar à exfiltração de dados, com um canal no Telegram insinuando a colaboração entre diferentes grupos de ameaças. A exploração envolve uma série de requisições HTTP que permitem a execução de um template XSLT malicioso, resultando em conexões de saída para a infraestrutura controlada pelos atacantes. A CISA incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades conhecidas exploradas, alertando agências federais para aplicar correções até 27 de outubro de 2025. A CrowdStrike e a WatchTowr Labs destacam a complexidade do ataque, que combina múltiplas falhas para alcançar a execução remota de código pré-autenticada. O alerta é claro: empresas que utilizam o Oracle EBS devem agir rapidamente para mitigar riscos.

A Redis divulgou uma vulnerabilidade de alta severidade em seu software de banco de dados em memória, identificada como CVE-2025-49844, também conhecida como RediShell. Com uma pontuação CVSS de 10.0, essa falha permite que um usuário autenticado execute um script Lua malicioso, manipulando o coletor de lixo e potencialmente levando à execução remota de código. A vulnerabilidade afeta todas as versões do Redis que suportam scripts Lua e foi corrigida nas versões 6.2.20, 7.2.11, 7.4.6, 8.0.4 e 8.2.2, lançadas em 3 de outubro de 2025. Para mitigar o problema temporariamente, recomenda-se restringir a execução de scripts Lua através de listas de controle de acesso (ACLs) e garantir que apenas identidades confiáveis possam executar comandos arriscados. Apesar de não haver evidências de exploração ativa da falha, cerca de 330.000 instâncias do Redis estão expostas à internet, com aproximadamente 60.000 delas sem autenticação, tornando-as alvos atrativos para ataques, como o cryptojacking. A combinação de configurações inseguras e a gravidade da vulnerabilidade exige ação imediata das organizações.

Engenheiros da Unity identificaram uma vulnerabilidade de segurança em sua plataforma de desenvolvimento de jogos, que permite a visualização e o roubo de dados dos usuários em aplicativos construídos com a engine. Essa falha, que permaneceu oculta por quase uma década, foi corrigida com um patch recente, mas muitos jogos ainda precisam ser atualizados para eliminar o problema. Entre os títulos afetados estão Fallout Shelter, Overcooked 2 e Wasteland 3. Embora a Unity tenha afirmado que a vulnerabilidade não afetou usuários, a possibilidade de ataques ainda existe, especialmente se arquivos maliciosos já estiverem presentes no sistema do usuário. A execução de códigos maliciosos seria limitada ao nível de privilégio do aplicativo vulnerável, o que significa que o risco aumenta se o jogo for executado em modo de administrador. Portanto, é crucial que os jogadores atualizem seus jogos assim que as correções estiverem disponíveis.

Uma vulnerabilidade crítica foi identificada no Redis Server, permitindo que atacantes autenticados realizem execução remota de código através de uma falha do tipo use-after-free no motor de script Lua. Classificada como CVE-2025-49844, essa vulnerabilidade afeta todas as versões do Redis que suportam a funcionalidade de scripting Lua, representando um risco significativo para organizações que dependem do Redis para armazenamento de dados em memória.

Pesquisadores de segurança da Wiz, em colaboração com a Iniciativa Zero Day da Trend Micro, descobriram que a falha resulta de uma gestão inadequada da memória na implementação do Lua, onde referências a memória liberada persistem após a coleta de lixo. Ao criar scripts Lua maliciosos que manipulam os tempos de coleta de lixo, atacantes podem explorar essa condição, assumindo o controle de regiões de memória liberadas e executando código arbitrário com os privilégios do processo do servidor Redis.

Uma falha crítica de Execução Remota de Código (RCE) no Google Chrome, identificada como CVE-2025-1195777, foi divulgada publicamente, expondo sistemas não corrigidos a riscos de comprometimento total. A vulnerabilidade foi descoberta durante a competição TyphoonPWN 2025 pelo pesquisador Seunghyun Lee e está relacionada a um bug sutil de canonização do WebAssembly no motor V8 do Chrome. O problema decorre de verificações inadequadas de nulidade na rotina CanonicalEqualityEqualValueType, permitindo que atacantes contornem garantias de tipo do Wasm e criem primitivas fora dos limites. A exploração utiliza uma cadeia de dois estágios: primeiro, sequestrando o sandbox do Wasm e, em seguida, abusando de uma característica da pilha secundária da JS Promise Integration para executar um código arbitrário na máquina host. Até o momento, o Google não lançou um patch oficial, deixando as versões do Chrome de 137.0.7151.40 a 138.0.7204.4 vulneráveis. Organizações são aconselhadas a desativar temporariamente o WebAssembly ou implementar políticas de segurança para mitigar a exposição a páginas maliciosas. Usuários devem evitar navegar em sites não confiáveis até que uma correção seja disponibilizada.

Uma falha crítica de segurança foi identificada no Zabbix Agent e Agent2 para Windows, permitindo que atacantes locais escalem privilégios para o nível SYSTEM. A vulnerabilidade, rastreada como CVE-2025-27237, ocorre devido à forma como o agente carrega seu arquivo de configuração do OpenSSL durante a inicialização do serviço. Em versões afetadas, esse arquivo está armazenado em um diretório onde usuários não administrativos têm acesso de gravação. Um atacante pode substituir ou modificar esse arquivo para referenciar uma DLL maliciosa, forçando o agente a carregar e executar código arbitrário como usuário SYSTEM ao reiniciar o serviço. As versões vulneráveis incluem Zabbix Agent e Agent2 de 6.0.0 a 6.0.40, 7.0.0 a 7.0.17, 7.2.0 a 7.2.11 e 7.4.0 a 7.4.1. Para mitigar essa vulnerabilidade, os administradores devem atualizar para versões corrigidas e reiniciar o serviço. A falha foi divulgada de forma responsável e confirmada pela equipe de suporte do Zabbix, que recomenda a aplicação imediata do patch para evitar a exploração da vulnerabilidade.

O cenário de cibersegurança continua a evoluir rapidamente, com novos ataques e vulnerabilidades emergindo semanalmente. Um dos principais destaques é a exploração de uma falha zero-day na Oracle E-Business Suite, identificada como CVE-2025-61882, que permite que atacantes não autenticados comprometam o sistema e realizem roubo de dados. O grupo de ransomware Cl0p está por trás dessa exploração, utilizando múltiplas vulnerabilidades para atacar diversas vítimas.

Além disso, um ator de estado-nação chinês, conhecido como Phantom Taurus, tem direcionado suas operações de espionagem cibernética a entidades governamentais e militares na África, Oriente Médio e Ásia, utilizando ferramentas sofisticadas para comprometer sistemas de alto valor. No Brasil, uma nova variante de malware chamada SORVEPOTEL tem se espalhado via WhatsApp, utilizando mensagens de phishing para infectar usuários e propagar-se rapidamente entre contatos.

A Oracle emitiu um alerta de segurança urgente sobre uma vulnerabilidade crítica de 0-day no Oracle E-Business Suite, que permite a execução remota de código sem autenticação. A falha, identificada como CVE-2025-61882, afeta as versões 12.2.3 a 12.2.14 do software e possui uma pontuação máxima de 9.8 no CVSS 3.1, indicando severidade crítica. Essa vulnerabilidade reside no componente de Integração BI Publisher do Oracle Concurrent Processing e pode ser explorada remotamente através do protocolo HTTP.

Uma vulnerabilidade crítica no Sudo, identificada como CVE-2025-32463, foi recentemente divulgada, permitindo que atacantes obtenham privilégios de root em sistemas Linux afetados. O código malicioso, que foi disponibilizado como uma prova de conceito (PoC) por meio do GitHub, permite que usuários locais com contas não privilegiadas explorem uma falha na funcionalidade chroot do Sudo, elevando seu acesso a controle total do sistema. As versões afetadas incluem o Sudo de 1.9.14 a 1.9.17, enquanto versões anteriores não são impactadas. A exploração dessa vulnerabilidade pode resultar em movimentos laterais dentro da rede, comprometendo a segurança de toda a infraestrutura de TI. Especialistas em segurança recomendam que as organizações atualizem para a versão 1.9.17p1 ou posterior, onde a falha foi corrigida. Além disso, o uso de frameworks de segurança como AppArmor ou SELinux é aconselhado para restringir o comportamento do Sudo. A detecção proativa de tentativas de exploração é essencial para mitigar riscos. A liberação pública do PoC aumenta significativamente o risco para sistemas não corrigidos, tornando a atualização imediata uma prioridade.

A QNAP Systems revelou uma vulnerabilidade crítica no seu software de backup NetBak Replicator, que pode permitir que atacantes locais executem código arbitrário em sistemas Windows afetados. Identificada como CVE-2025-57714, a falha se origina de um elemento de caminho de busca não citado na versão 4.5.x do NetBak Replicator. Quando o Windows tenta localizar executáveis em diretórios com espaços, sem as devidas aspas, um invasor pode inserir um executável malicioso em um caminho de maior prioridade. Isso pode resultar na execução do código do atacante em vez do programa legítimo, levando à execução não autorizada com privilégios elevados. A vulnerabilidade afeta usuários com acesso local e é especialmente preocupante em ambientes compartilhados, onde um ator malicioso pode escalar privilégios. A QNAP já lançou uma correção na versão 4.5.15.0807 e recomenda que as organizações atualizem imediatamente. Além disso, administradores devem implementar controles de acesso rigorosos e monitorar atividades suspeitas para mitigar riscos futuros.

A Oracle divulgou uma atualização emergencial para corrigir uma falha de segurança crítica em seu E-Business Suite, identificada como CVE-2025-61882, com uma pontuação CVSS de 9.8. Essa vulnerabilidade permite que um atacante não autenticado, com acesso à rede via HTTP, comprometa o componente de Processamento Concorrente da Oracle. A empresa alertou que, se explorada com sucesso, essa falha pode resultar em execução remota de código. O Chief Security Officer da Oracle, Rob Duhart, afirmou que a atualização foi lançada para mitigar potenciais explorações adicionais descobertas durante a investigação. A vulnerabilidade está relacionada a uma onda recente de ataques de roubo de dados do grupo Cl0p, que utilizou múltiplas falhas, incluindo algumas já corrigidas em atualizações anteriores. A Mandiant, subsidiária do Google, destacou que o Cl0p explorou essas vulnerabilidades para roubar grandes quantidades de dados de várias vítimas. Diante da exploração em massa de zero-days, as organizações devem verificar se já foram comprometidas, independentemente da aplicação do patch.

Uma vulnerabilidade de segurança agora corrigida no Zimbra Collaboration foi explorada como um zero-day em ataques cibernéticos direcionados ao Exército Brasileiro. Identificada como CVE-2025-27915, essa falha de cross-site scripting (XSS) armazenada permite a execução de código arbitrário devido à sanitização insuficiente de conteúdo HTML em arquivos de calendário ICS. Quando um usuário visualiza um e-mail com uma entrada ICS maliciosa, um código JavaScript embutido é executado, possibilitando que um atacante realize ações não autorizadas, como redirecionar e-mails para um endereço controlado por ele. A vulnerabilidade foi corrigida nas versões 9.0.0 Patch 44, 10.0.13 e 10.1.5, lançadas em 27 de janeiro de 2025. No entanto, um relatório da StrikeReady Labs, publicado em 30 de setembro de 2025, revelou que a falha foi explorada em ataques reais, onde atores desconhecidos se passaram pelo Escritório de Protocolo da Marinha da Líbia para atacar o Exército Brasileiro. O arquivo ICS continha um código JavaScript projetado para roubar dados, incluindo credenciais e e-mails, e adicionar regras de filtro maliciosas no Zimbra. O ataque destaca a necessidade urgente de monitoramento e atualização de sistemas para evitar compromissos semelhantes.

Pesquisadores das Universidades de Birmingham e KU Leuven identificaram uma nova vulnerabilidade chamada Battering RAM, que afeta processadores Intel e AMD, especialmente em ambientes de nuvem. O ataque utiliza um interposer, um dispositivo físico de baixo custo (cerca de R$ 265), que, ao ser ativado, redireciona endereços protegidos da memória para locais controlados por hackers. Isso compromete a segurança das Extensões de Guarda do Software Intel (SGX) e da Virtualização Encriptada Segura com Paginação Aninhada Segura da AMD (SEV-SNO), que são fundamentais para a criptografia de dados em nuvem. O ataque é especialmente preocupante para sistemas que utilizam memória RAM DDR4 e pode permitir que provedores de nuvem maliciosos ou insiders com acesso limitado insiram backdoors nas CPUs. Apesar de a Intel, AMD e Arm terem sido informadas sobre a vulnerabilidade, a proteção contra o Battering RAM exigiria um redesenho completo das medidas de segurança atuais. Essa descoberta segue uma pesquisa anterior sobre técnicas que vazam memória de máquinas virtuais em serviços de nuvem públicos.

A Microsoft está enfrentando um problema com o Microsoft Defender para Endpoint, que erroneamente classifica o firmware da BIOS de alguns computadores como desatualizado. Esse bug, identificado por pesquisadores da Redmond, afeta principalmente dispositivos da Dell, gerando alertas para os usuários sobre a necessidade de atualizações que, na verdade, não existem. A empresa já está trabalhando em um patch para corrigir essa falha, embora não tenha divulgado quantos usuários foram impactados ou as regiões mais afetadas. Além disso, a Microsoft também resolveu recentemente outros problemas, como crashes em dispositivos macOS e falsos positivos que bloqueavam links no Microsoft Teams e Exchange Online. Esses incidentes destacam a importância de monitorar e corrigir bugs em sistemas de segurança, especialmente em um cenário onde a integridade dos dispositivos é crucial para a proteção de dados e a conformidade com regulamentações como a LGPD.

Pesquisadores revelaram uma falha crítica de segurança em roteadores empresariais que utilizam o sistema DrayOS, permitindo que atacantes remotos não autenticados provoquem corrupção de memória, quedas de sistema e potencialmente executem código arbitrário. A vulnerabilidade está presente na Interface Web do Usuário (WebUI), que aceita requisições HTTP(S) sem validação adequada de entrada. Quando explorada, essa falha pode dar controle total sobre os dispositivos afetados, permitindo que os atacantes se movam mais profundamente nas redes corporativas. A exploração ocorre ao enviar requisições maliciosas para a WebUI em interfaces de rede com acesso remoto habilitado. A DrayTek já lançou atualizações de firmware para corrigir a vulnerabilidade, e os usuários são aconselhados a atualizar imediatamente para evitar riscos de exploração. Para mitigar a ameaça, recomenda-se desabilitar o acesso remoto à WebUI e implementar listas de controle de acesso (ACLs) que restrinjam o acesso a hosts confiáveis. Além disso, é importante realizar auditorias de patch e testes de penetração periódicos para garantir a segurança das interfaces de gerenciamento remoto.

A Obex, um coletivo de pesquisa em segurança, revelou uma técnica sofisticada que permite a adversários evitar a detecção ao impedir que bibliotecas dinâmicas (DLLs) específicas sejam carregadas em processos-alvo. Essa abordagem representa um risco significativo para soluções de segurança que dependem exclusivamente de hooks em modo de usuário ou inspeção obrigatória em processos, uma vez que essas técnicas não conseguem monitorar a atividade maliciosa. A pesquisa mostra que, ao controlar os parâmetros de lançamento do processo, atacantes podem especificar uma lista restrita de DLLs, bloqueando a inicialização de módulos de telemetria ou inspeção. Isso permite que malware seja executado sem ser detectado. Para mitigar essa vulnerabilidade, a pesquisa sugere a implementação de proteções em modo de kernel, que garantem a integridade do carregamento de bibliotecas, independentemente dos parâmetros de modo de usuário. A Obex enfatiza a necessidade de uma defesa em profundidade, onde múltiplas camadas de segurança são essenciais para enfrentar adversários sofisticados. As organizações devem adotar medidas complementares, como detecção de anomalias em rede e verificação de integridade da memória, para fortalecer suas defesas contra essas técnicas de evasão.

A NCC Group divulgou uma análise detalhada de uma vulnerabilidade crítica no VMware Workstation, que permite a exploração de uma máquina virtual (VM) comprometida para atacar o host. A falha está relacionada à lógica de manipulação do dispositivo virtual backdoor/RPC, onde entradas maliciosas podem causar corrupção de memória, possibilitando a execução de código controlado no processo do hipervisor do host. A vulnerabilidade é resultado de verificações de limites inadequadas no código de manipulação de sessões RPC, permitindo que um atacante, sem privilégios elevados, desencadeie uma escrita fora dos limites na memória do host. O exploit de prova de conceito (PoC) demonstra um caminho de exploração em quatro etapas, começando com a abertura de uma sessão RPC e culminando na execução de um payload malicioso. A VMware já lançou atualizações de segurança para corrigir essa falha, e é recomendado que administradores apliquem os patches imediatamente e restrinjam cargas de trabalho não confiáveis em instalações locais do Workstation. O monitoramento contínuo do processo do hipervisor é essencial para detectar tentativas de exploração em tempo real.

Uma falha crítica no Microsoft Defender for Endpoint resultou em uma onda de alertas falsos sobre vulnerabilidades de BIOS, afetando principalmente usuários de dispositivos Dell. O problema surgiu quando a lógica de detecção de vulnerabilidades do Defender começou a identificar erroneamente instalações de BIOS atualizadas como desatualizadas ou inseguras. Organizações em todo o mundo relataram receber repetidos avisos de que suas versões de BIOS estavam desatualizadas, mesmo quando estavam com o firmware mais recente fornecido pela Dell. Essa enxurrada de falsos positivos gerou confusão e frustração entre administradores e usuários finais, dificultando a distinção entre avisos de segurança legítimos e os alertas defeituosos do Defender. A Microsoft reconheceu o problema e está trabalhando em um patch para corrigir a lógica de comparação de versões, que deve ser implementado na próxima janela de manutenção. Enquanto isso, as equipes de TI são aconselhadas a verificar as versões de BIOS de forma independente, utilizando canais de suporte da Dell e interfaces de gerenciamento de sistema. Este incidente destaca a importância da precisão na detecção automatizada de vulnerabilidades em plataformas de segurança empresarial.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta gravidade, CVE-2025-4008, que afeta o Smartbedded Meteobridge, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Com uma pontuação CVSS de 8.7, essa falha é um caso de injeção de comando na interface web do Meteobridge, permitindo que atacantes remotos não autenticados executem comandos arbitrários com privilégios elevados nos dispositivos afetados. A vulnerabilidade foi descoberta pela ONEKEY e relatada em fevereiro de 2025, sendo que a interface web do Meteobridge é acessível publicamente, o que facilita a exploração. A CISA recomenda que as agências federais dos EUA apliquem as atualizações necessárias até 23 de outubro de 2025. Além disso, outras quatro vulnerabilidades críticas foram adicionadas ao catálogo, incluindo falhas em dispositivos móveis da Samsung e no Jenkins. A atualização para a versão 6.2 do Meteobridge, lançada em 13 de maio de 2025, já aborda essa vulnerabilidade.

A Microsoft está investigando um bug que causa falhas no cliente de e-mail clássico do Outlook, afetando usuários do Microsoft 365 que utilizam o software em sistemas Windows. O problema impede o acesso ao serviço e, até o momento, a única solução disponível é através do suporte técnico da Microsoft, especificamente do Exchange Online. Os usuários afetados recebem uma mensagem de erro informando que o Outlook não pôde ser aberto devido a uma falha na autenticação da conta Exchange. A empresa recomenda que os usuários abram um chamado no portal de administrador do Microsoft 365 para que a equipe do Exchange Online possa solicitar uma correção. Além disso, a Microsoft sugere que os usuários façam uma captura de erro utilizando o proxy Fiddler, buscando pelo código de erro “LID: 49586 - Authentication concurrency limit is reached”. Enquanto a solução definitiva não é disponibilizada, a empresa orienta o uso do novo Outlook para Windows ou do Acesso Web do Outlook (OWA). Outras soluções temporárias incluem iniciar o Outlook em modo de segurança, criar um novo perfil e reparar arquivos de dados do Outlook. A situação é crítica, pois o bug afeta a produtividade dos usuários e a Microsoft já enfrentou problemas semelhantes anteriormente, relacionados a instabilidades em seus servidores.