Atualização

O Google Chrome lançou a versão 141, que inclui correções para 21 vulnerabilidades de segurança, abrangendo desde falhas de alta severidade, como estouros de buffer, até vulnerabilidades de baixa severidade. A atualização será disponibilizada automaticamente para usuários de Windows, macOS e Linux nas próximas semanas. Entre as falhas corrigidas, destacam-se CVEs como CVE-2025-11205 e CVE-2025-11206, que resultaram em recompensas significativas para os pesquisadores que as relataram. O Google implementou melhorias de segurança internas e campanhas de fuzzing contínuas para fortalecer a resiliência do navegador contra novas ameaças. Além das correções de segurança, a versão 141 traz melhorias de desempenho e otimizações que beneficiam especialmente dispositivos com menor capacidade de processamento. Os usuários são incentivados a atualizar o navegador o mais rápido possível para garantir a proteção contra essas vulnerabilidades. Para administradores de TI, recomenda-se testar a nova versão em ambientes controlados antes de uma implementação em larga escala.

A versão 2025.3 do Kali Linux foi lançada, trazendo melhorias significativas e a adição de dez novas ferramentas de segurança. Esta atualização, que segue a versão anterior de junho de 2025, aprimora fluxos de trabalho essenciais e expande as capacidades sem fio, além de preparar o sistema para novas arquiteturas. A equipe de desenvolvimento reformulou a criação de imagens de máquinas virtuais, integrando os padrões mais recentes do Packer e Vagrant, o que garante uma geração consistente de templates de VM. Os pentesters sem fio agora podem contar com o suporte restaurado do Nexmon para chipsets Broadcom e Cypress, estendido ao Raspberry Pi 5. A versão também aposentou a arquitetura ARMel, redirecionando recursos para o suporte ao RISC-V. Entre as novas ferramentas, destacam-se o Caido para auditoria de segurança web e o krbrelayx para ataques de relé Kerberos. No âmbito móvel, o Kali NetHunter recebeu atualizações significativas, incluindo suporte a modo monitor interno em dispositivos de baixo custo. Com essas melhorias, o Kali Linux continua a ser uma escolha relevante para profissionais de segurança.

O Google lançou uma atualização de segurança emergencial para o Chrome após a descoberta de uma vulnerabilidade crítica de zero-day, que está sendo ativamente explorada por atacantes. A versão 140.0.7339.185/.186 para Windows e Mac, e 140.0.7339.185 para Linux, foi disponibilizada em 17 de setembro de 2025, corrigindo quatro falhas de segurança de alta gravidade, incluindo a CVE-2025-10585. Essa vulnerabilidade, classificada como um erro de confusão de tipo no motor JavaScript V8 do Chrome, permite que atacantes corrompam a memória e executem código remotamente. O Google confirmou que um exploit para essa vulnerabilidade já está em uso, o que representa um risco significativo para os usuários. Além da CVE-2025-10585, a atualização também corrige outras falhas críticas, como CVE-2025-10500, CVE-2025-10501 e CVE-2025-10502, que envolvem vulnerabilidades de uso após liberação de memória e estouro de buffer. Os usuários do Chrome devem atualizar imediatamente seus navegadores para mitigar esses riscos, e as organizações devem implementar monitoramento de rede para detectar tentativas de exploração.

A Microsoft anunciou a resolução de um problema crítico de compatibilidade de áudio que afetou usuários do Windows 11 versão 24H2, deixando muitos sem som em dispositivos Bluetooth, como fones de ouvido e alto-falantes. A falha, identificada como uma incompatibilidade com o componente cridspapo.dll da tecnologia de aprimoramento de som Dirac Audio, causou a inoperância total dos dispositivos de áudio após a atualização do sistema. Os usuários relataram que seus dispositivos Bluetooth não eram reconhecidos pelo Windows, tornando as tentativas de solução de problemas ineficazes. Para mitigar o problema, a Microsoft implementou uma medida de proteção que bloqueou a atualização para sistemas vulneráveis e trabalhou em conjunto com os desenvolvedores da Dirac Audio para criar um driver substituto que restabelece a funcionalidade de áudio. A correção foi disponibilizada em 12 de setembro de 2025, e os usuários podem verificar sua elegibilidade para a atualização através das configurações do Windows. Essa solução representa um alívio significativo para os usuários afetados, que foram forçados a usar conexões com fio ou reverter para versões anteriores do Windows para restaurar a funcionalidade de áudio.

A Oracle lançou a versão 7.2.2 do VirtualBox, uma atualização crítica que visa resolver falhas na interface gráfica do usuário (GUI) que afetavam máquinas virtuais (VMs) em plataformas Windows, Linux e macOS. Publicada em 10 de setembro de 2025, essa atualização traz melhorias significativas na confiabilidade dos fluxos de trabalho de virtualização, proporcionando uma experiência de usuário mais estável. Entre as correções, destaca-se a solução para travamentos frequentes na interface do VirtualBox Manager, especialmente ao gerenciar VMs com múltiplos snapshots. Além disso, foram abordados problemas de congelamento no Linux durante a inicialização e ao adicionar novas VMs. A atualização também melhora o suporte a hosts ARM, reduzindo o uso excessivo de CPU em VMs ociosas e garantindo um desempenho mais confiável. Outras melhorias incluem suporte para novos adaptadores de rede e correções na manipulação de DNS, aumentando a estabilidade da rede. A Oracle recomenda que todos os usuários do VirtualBox atualizem imediatamente para evitar interrupções nas operações diárias das VMs.

O GitLab lançou atualizações de patch (18.3.2, 18.2.6 e 18.1.6) para suas edições Community e Enterprise, abordando vulnerabilidades críticas que podem resultar em negação de serviço (DoS) e ataques de Server-Side Request Forgery (SSRF). As instalações autogeridas devem atualizar imediatamente, pois a versão do GitLab.com já está corrigida. A vulnerabilidade mais grave (CVE-2025-6454) permite que usuários autenticados injetem sequências maliciosas em cabeçalhos personalizados de Webhook, potencialmente desencadeando requisições internas indesejadas. Com um CVSS de 8.5, essa falha representa um risco significativo à confidencialidade e integridade dos dados. Além disso, duas falhas de DoS de alta severidade (CVE-2025-2256 e CVE-2025-1250) podem permitir que atacantes esgotem recursos do sistema. O GitLab recomenda que os administradores atualizem suas instalações sem demora, garantindo a segurança contra esses riscos. As versões afetadas vão da 7.8 até antes das versões de patch mencionadas, e a atualização é essencial para evitar a exploração dessas vulnerabilidades.

A Windscribe lançou uma atualização significativa para seu aplicativo VPN, focando na facilidade de uso e personalização. As mudanças incluem uma tela inicial mais limpa, uma seção de configurações simplificada e acesso mais rápido a configurações importantes. Os usuários agora podem escolher entre temas de interface, como o Alpha e o minimalista Van Gogh, além de modos claro e escuro para dispositivos móveis. A nova seção ‘Look and Feel’ permite personalizar ainda mais a experiência, com opções para adicionar fundos e sons personalizados ao conectar ou desconectar da VPN. A atualização também facilita o acesso a configurações cruciais, como o Auto-Secure, que ativa automaticamente a VPN em redes não confiáveis, e a troca de protocolos, que agora é feita com um único clique. Embora as opções de personalização sejam divertidas, elas também melhoram a usabilidade, especialmente para novos usuários que podem achar a interface anterior complexa. A Windscribe oferece uma versão gratuita e uma versão Pro, com preços acessíveis a partir de $5,75 por mês.

A Apache Software Foundation anunciou a correção de uma vulnerabilidade crítica no Apache DolphinScheduler, uma plataforma popular de orquestração de fluxos de trabalho distribuídos. Classificada como ‘Permissões Padrão Incorretas’, a falha afeta todas as versões anteriores à 3.2.2 e foi avaliada com baixa severidade. A vulnerabilidade resulta de configurações inadequadas de permissões padrão, permitindo acesso não autorizado a dados sensíveis e funções administrativas. Embora detalhes técnicos sobre o mecanismo de exploração não tenham sido divulgados, a falha pode permitir que atacantes contornem controles de acesso e obtenham privilégios elevados. A versão 3.3.1 já está disponível e deve ser instalada imediatamente pelos usuários afetados, evitando a versão intermediária 3.2.2. Além da atualização, é recomendado que as organizações revisem suas configurações de permissão e realizem auditorias para detectar acessos não autorizados. A Apache enfatiza a importância de manter versões atualizadas e participar de programas de reporte de segurança.

Os usuários de Android em todo o mundo devem instalar imediatamente o patch de segurança de setembro de 2025 para proteger seus dispositivos contra vulnerabilidades de alta severidade que estão sendo ativamente exploradas. Lançada em 1º de setembro de 2025, a atualização aborda várias falhas críticas, incluindo duas que já foram confirmadas como alvo de exploração limitada e direcionada.

As vulnerabilidades mais preocupantes incluem uma falha de execução remota de código no componente do sistema, que permite a execução de código arbitrário sem privilégios adicionais ou interação do usuário. Além disso, duas falhas de Elevação de Privilégios (EoP) no Android Runtime e no Sistema, ambas classificadas como de alta severidade, também requerem atenção imediata.

Pesquisadores de segurança identificaram uma vulnerabilidade crítica, chamada AR-Slip, na versão 4.4.0 da ferramenta MobSF, que permite a usuários autenticados sobrescrever arquivos arbitrários no sistema de arquivos do host. Essa falha, registrada como GHSA-9gh8-9r95-3fc3, resulta de uma validação insuficiente de nomes de arquivos absolutos durante a extração de bibliotecas estáticas. O problema ocorre quando a função ar_extract não verifica adequadamente se os caminhos são relativos, permitindo que um atacante sobrescreva arquivos críticos, como bancos de dados e arquivos de configuração. Para mitigar os riscos, os usuários devem atualizar para a versão 4.4.1, que corrige essa vulnerabilidade ao normalizar os nomes dos arquivos e garantir que os caminhos de extração permaneçam dentro do diretório designado. A exploração dessa vulnerabilidade pode levar a distorções de integridade, interrupções de serviço e até mesmo escalonamento de privilégios em sistemas mal configurados. Portanto, é crucial que as equipes de segurança implementem práticas de verificação rigorosas para evitar tais falhas no futuro.

A Microsoft anunciou a disponibilidade da versão 25H2 do Windows 11 (Build 26200.5074) para os usuários do Release Preview Channel. Esta atualização anual é entregue como um pacote de habilitação (eKB), permitindo que PCs elegíveis atualizem da versão 24H2 sem a necessidade de reinstalação completa do sistema operacional. O pacote simplesmente ativa novos recursos que já estão presentes nos dispositivos. Além disso, a versão 25H2 remove componentes legados como o PowerShell 2.0 e o WMIC, incentivando a migração para ferramentas de gerenciamento mais modernas. Para clientes comerciais, a atualização oferece opções de remoção de aplicativos pré-instalados via políticas de grupo ou MDM. A instalação está disponível para insiders que atendem aos requisitos de hardware, e os clientes comerciais têm caminhos adicionais de implantação, como Windows Update for Business e WSUS. A Microsoft também disponibilizará imagens do Azure Marketplace e ISOs para instalações limpas na próxima semana.

Em 26 de agosto de 2025, o Google lançou uma atualização para o Chrome Desktop, corrigindo uma vulnerabilidade crítica identificada como CVE-2025-9478, que afeta a biblioteca gráfica ANGLE. Essa falha de uso após a liberação (use-after-free) pode permitir a execução remota de código malicioso através de comandos específicos enviados por uma página web comprometida. A atualização está sendo distribuída gradualmente para as versões do Chrome em Windows, Mac e Linux, e é recomendada a todos os usuários que mantenham seus navegadores atualizados. O Google agradeceu à equipe de pesquisa externa, Google Big Sleep, por relatar a vulnerabilidade de forma responsável. A empresa reforça a importância de atualizações frequentes para garantir a segurança dos usuários e prevenir a exploração de falhas antes que a maioria esteja protegida.

A atualização de segurança de agosto de 2025 para o Windows 11 versão 24H2 e Windows 10 trouxe uma série de problemas, incluindo lentidão severa em dispositivos que utilizam ferramentas de streaming NDI, como OBS. Os usuários relataram travamentos e degradação de desempenho após a instalação da atualização KB5063878. A Microsoft recomenda uma solução temporária, que envolve a mudança do modo de recebimento NDI para TCP ou UDP. Além disso, a atualização causou falhas na instalação via WSUS para clientes empresariais, que já foram resolvidas. Outros problemas incluem a falta de prompt de consentimento parental em navegadores não-Edge e incompatibilidades com drivers específicos, como o sprotect.sys e o Dirac Audio, que impedem a atualização em alguns dispositivos. A Microsoft está trabalhando em soluções para esses problemas, mas os usuários são aconselhados a verificar a compatibilidade de seus sistemas antes de proceder com a atualização.

A Apple lançou um patch de segurança para corrigir uma falha de zero-day identificada como CVE-2025-43300, que afeta dispositivos com iOS e iPadOS. Essa vulnerabilidade, que permite a execução remota de código, foi explorada em ataques sofisticados direcionados a indivíduos específicos. O problema reside em um erro de escrita fora dos limites no framework ImageIO, que gerencia arquivos de imagem. A falha possibilita que imagens maliciosas enviadas por e-mail ou mensagens causem corrupção de memória, levando a possíveis crashes ou execução de malware. A Apple implementou melhorias nos checagens de limites nas versões iOS 18.6.2 e iPadOS 18.6.2, entre outras atualizações. É importante que os usuários atualizem seus dispositivos imediatamente, pois há evidências de que a vulnerabilidade está sendo explorada ativamente. A falha afeta uma ampla gama de dispositivos, incluindo iPhones a partir do modelo XS e diversos modelos de iPads. Este é o sexto zero-day corrigido pela Apple em 2025, destacando a necessidade de vigilância constante em relação à segurança dos dispositivos.