Atualização

No dia 11 de novembro de 2025, a Mozilla lançou a versão 145 do Firefox para corrigir múltiplas vulnerabilidades de segurança que poderiam permitir a execução de código arbitrário nos sistemas dos usuários. A atualização aborda 16 CVEs, sendo que oito delas foram classificadas como de alta severidade. A falha mais crítica, CVE-2025-13027, é um conjunto de bugs de segurança de memória identificados pela equipe de Fuzzing da Mozilla. Esses problemas podem ser explorados por atacantes para executar código remotamente, potencialmente contornando as proteções do navegador e comprometendo dispositivos inteiros.

O Google lançou oficialmente a versão 142 do Chrome, que traz atualizações de segurança essenciais para as plataformas Windows, Mac e Linux. Esta nova versão corrige 20 vulnerabilidades de alta severidade, muitas das quais poderiam permitir a execução remota de código, comprometendo dados e a integridade do sistema dos usuários. Entre os problemas abordados, destacam-se falhas no motor JavaScript V8, como confusão de tipos e condições de corrida, que podem resultar em execução de código arbitrário. Além disso, foram feitas correções em questões de manipulação de mídia e vulnerabilidades no framework de extensões, que poderiam ser exploradas para elevar privilégios. O programa de recompensas por vulnerabilidades do Google incentivou a contribuição de pesquisadores externos, com recompensas variando de $2.000 a $50.000. Os profissionais de segurança recomendam a ativação de atualizações automáticas para garantir proteção imediata contra tentativas de exploração. A versão 142 do Chrome reforça a postura de segurança do navegador em um cenário de ameaças cibernéticas em constante crescimento.

A VMware anunciou a atualização 25H2 para seus produtos Workstation e Fusion, introduzindo um novo sistema de versionamento baseado em calendário que facilita o gerenciamento do ciclo de vida do software. Essa mudança, que combina o ano e o semestre na nomenclatura, visa proporcionar maior clareza sobre os lançamentos, permitindo que administradores planejem atualizações com mais confiança.

Entre as principais novidades está o ‘dictTool’, uma ferramenta de linha de comando que permite inspecionar e editar arquivos de configuração do VMware diretamente de scripts ou terminais, atendendo a um pedido frequente da comunidade. Além disso, a versão 25H2 amplia a compatibilidade com os mais recentes processadores da Intel, como Lunar Lake e Meteor Lake, e suporta uma variedade de sistemas operacionais convidados, incluindo Red Hat Enterprise Linux 10 e macOS Tahoe.

O Windows 10 recebeu sua última atualização de segurança, que corrige 172 falhas, incluindo seis vulnerabilidades zero-day. Essas falhas representam riscos significativos, pois são brechas que podem ser exploradas por atacantes antes que a Microsoft tenha a chance de lançar um patch. Entre as vulnerabilidades corrigidas, destacam-se problemas no Gerenciador de Conexão de Acesso Remoto do Windows, uma falha de bypass no Secure Boot e uma vulnerabilidade no TPM 2.0, que é essencial para a atualização para o Windows 11. A situação é alarmante, pois, sem atualizações de segurança, o sistema operacional pode se tornar um alvo fácil para cibercriminosos ao longo do tempo. A Microsoft oferece um programa de Atualizações de Segurança Estendidas (ESU) que permite aos usuários obter suporte adicional, o que é crucial para aqueles que ainda utilizam o Windows 10 após o fim do suporte oficial em outubro de 2025. Ignorar essas atualizações pode resultar em um aumento exponencial de vulnerabilidades, tornando o sistema cada vez mais inseguro.

O Google lançou uma atualização crítica para o Chrome, versão 141.0.7390[.]107/.108, que corrige uma falha de segurança de alta gravidade, identificada como CVE-2025-11756. Essa vulnerabilidade, descoberta por um pesquisador externo, permite a execução de código arbitrário devido a um erro ‘Use-After-Free’ no componente Safe Browsing do navegador. Ao manipular a vida útil de objetos durante verificações de URLs maliciosas, um atacante pode corromper a memória, potencialmente comprometendo o processo de renderização privilegiado do Chrome.

No dia 14 de outubro de 2025, o Windows 10 entra na fase de ‘Fim de Vida’ (End of Life), o que significa que a Microsoft não fornecerá mais suporte oficial para este sistema operacional. Isso implica a interrupção de atualizações, correções de bugs e, principalmente, patches de segurança, deixando milhões de usuários vulneráveis a ameaças cibernéticas. Apesar de já ter mais de uma década, o Windows 10 ainda é utilizado por uma grande base de usuários, e a Microsoft está incentivando a migração para o Windows 11. Além disso, empresas concorrentes, como a Apple, estão aproveitando essa transição para atrair usuários do Windows 10. Para ajudar os usuários a entenderem os riscos associados à permanência no Windows 10, a Microsoft disponibiliza ferramentas que permitem verificar a compatibilidade do hardware para a atualização. O artigo também oferece um blog ao vivo com opiniões de especialistas e dicas para facilitar a transição. A falta de suporte pode resultar em um aumento significativo de vulnerabilidades, tornando essencial que os usuários considerem a atualização para garantir a segurança de seus sistemas.

Em outubro de 2025, a Google lançou uma atualização crítica para o Chrome, abordando três falhas de manipulação de memória que podem permitir a execução de código arbitrário por atacantes. As versões afetadas incluem o Chrome 141.0.7390.65/.66 para Windows e macOS, e 141.0.7390.65 para Linux. As vulnerabilidades, identificadas como CVE-2025-11458, CVE-2025-11460 e CVE-2025-11211, foram descobertas por pesquisadores externos através do programa de recompensas da Google, com recompensas variando de $3.000 a $5.000. A primeira falha, um estouro de buffer, permite que um atacante execute código malicioso ao enviar dados de sincronização manipulados. A segunda, um uso após a liberação, pode causar corrupção de memória ao acessar um objeto de armazenamento liberado prematuramente. A terceira falha envolve uma leitura fora dos limites na API WebCodecs, que pode levar à corrupção de dados. Os usuários são aconselhados a garantir que suas versões do Chrome estejam atualizadas, e administradores devem implementar a atualização em dispositivos gerenciados imediatamente.

O Google Chrome lançou a versão 141, que inclui correções para 21 vulnerabilidades de segurança, abrangendo desde falhas de alta severidade, como estouros de buffer, até vulnerabilidades de baixa severidade. A atualização será disponibilizada automaticamente para usuários de Windows, macOS e Linux nas próximas semanas. Entre as falhas corrigidas, destacam-se CVEs como CVE-2025-11205 e CVE-2025-11206, que resultaram em recompensas significativas para os pesquisadores que as relataram. O Google implementou melhorias de segurança internas e campanhas de fuzzing contínuas para fortalecer a resiliência do navegador contra novas ameaças. Além das correções de segurança, a versão 141 traz melhorias de desempenho e otimizações que beneficiam especialmente dispositivos com menor capacidade de processamento. Os usuários são incentivados a atualizar o navegador o mais rápido possível para garantir a proteção contra essas vulnerabilidades. Para administradores de TI, recomenda-se testar a nova versão em ambientes controlados antes de uma implementação em larga escala.

A versão 2025.3 do Kali Linux foi lançada, trazendo melhorias significativas e a adição de dez novas ferramentas de segurança. Esta atualização, que segue a versão anterior de junho de 2025, aprimora fluxos de trabalho essenciais e expande as capacidades sem fio, além de preparar o sistema para novas arquiteturas. A equipe de desenvolvimento reformulou a criação de imagens de máquinas virtuais, integrando os padrões mais recentes do Packer e Vagrant, o que garante uma geração consistente de templates de VM. Os pentesters sem fio agora podem contar com o suporte restaurado do Nexmon para chipsets Broadcom e Cypress, estendido ao Raspberry Pi 5. A versão também aposentou a arquitetura ARMel, redirecionando recursos para o suporte ao RISC-V. Entre as novas ferramentas, destacam-se o Caido para auditoria de segurança web e o krbrelayx para ataques de relé Kerberos. No âmbito móvel, o Kali NetHunter recebeu atualizações significativas, incluindo suporte a modo monitor interno em dispositivos de baixo custo. Com essas melhorias, o Kali Linux continua a ser uma escolha relevante para profissionais de segurança.

O Google lançou uma atualização de segurança emergencial para o Chrome após a descoberta de uma vulnerabilidade crítica de zero-day, que está sendo ativamente explorada por atacantes. A versão 140.0.7339.185/.186 para Windows e Mac, e 140.0.7339.185 para Linux, foi disponibilizada em 17 de setembro de 2025, corrigindo quatro falhas de segurança de alta gravidade, incluindo a CVE-2025-10585. Essa vulnerabilidade, classificada como um erro de confusão de tipo no motor JavaScript V8 do Chrome, permite que atacantes corrompam a memória e executem código remotamente. O Google confirmou que um exploit para essa vulnerabilidade já está em uso, o que representa um risco significativo para os usuários. Além da CVE-2025-10585, a atualização também corrige outras falhas críticas, como CVE-2025-10500, CVE-2025-10501 e CVE-2025-10502, que envolvem vulnerabilidades de uso após liberação de memória e estouro de buffer. Os usuários do Chrome devem atualizar imediatamente seus navegadores para mitigar esses riscos, e as organizações devem implementar monitoramento de rede para detectar tentativas de exploração.

A Microsoft anunciou a resolução de um problema crítico de compatibilidade de áudio que afetou usuários do Windows 11 versão 24H2, deixando muitos sem som em dispositivos Bluetooth, como fones de ouvido e alto-falantes. A falha, identificada como uma incompatibilidade com o componente cridspapo.dll da tecnologia de aprimoramento de som Dirac Audio, causou a inoperância total dos dispositivos de áudio após a atualização do sistema. Os usuários relataram que seus dispositivos Bluetooth não eram reconhecidos pelo Windows, tornando as tentativas de solução de problemas ineficazes. Para mitigar o problema, a Microsoft implementou uma medida de proteção que bloqueou a atualização para sistemas vulneráveis e trabalhou em conjunto com os desenvolvedores da Dirac Audio para criar um driver substituto que restabelece a funcionalidade de áudio. A correção foi disponibilizada em 12 de setembro de 2025, e os usuários podem verificar sua elegibilidade para a atualização através das configurações do Windows. Essa solução representa um alívio significativo para os usuários afetados, que foram forçados a usar conexões com fio ou reverter para versões anteriores do Windows para restaurar a funcionalidade de áudio.

A Oracle lançou a versão 7.2.2 do VirtualBox, uma atualização crítica que visa resolver falhas na interface gráfica do usuário (GUI) que afetavam máquinas virtuais (VMs) em plataformas Windows, Linux e macOS. Publicada em 10 de setembro de 2025, essa atualização traz melhorias significativas na confiabilidade dos fluxos de trabalho de virtualização, proporcionando uma experiência de usuário mais estável. Entre as correções, destaca-se a solução para travamentos frequentes na interface do VirtualBox Manager, especialmente ao gerenciar VMs com múltiplos snapshots. Além disso, foram abordados problemas de congelamento no Linux durante a inicialização e ao adicionar novas VMs. A atualização também melhora o suporte a hosts ARM, reduzindo o uso excessivo de CPU em VMs ociosas e garantindo um desempenho mais confiável. Outras melhorias incluem suporte para novos adaptadores de rede e correções na manipulação de DNS, aumentando a estabilidade da rede. A Oracle recomenda que todos os usuários do VirtualBox atualizem imediatamente para evitar interrupções nas operações diárias das VMs.

O GitLab lançou atualizações de patch (18.3.2, 18.2.6 e 18.1.6) para suas edições Community e Enterprise, abordando vulnerabilidades críticas que podem resultar em negação de serviço (DoS) e ataques de Server-Side Request Forgery (SSRF). As instalações autogeridas devem atualizar imediatamente, pois a versão do GitLab.com já está corrigida. A vulnerabilidade mais grave (CVE-2025-6454) permite que usuários autenticados injetem sequências maliciosas em cabeçalhos personalizados de Webhook, potencialmente desencadeando requisições internas indesejadas. Com um CVSS de 8.5, essa falha representa um risco significativo à confidencialidade e integridade dos dados. Além disso, duas falhas de DoS de alta severidade (CVE-2025-2256 e CVE-2025-1250) podem permitir que atacantes esgotem recursos do sistema. O GitLab recomenda que os administradores atualizem suas instalações sem demora, garantindo a segurança contra esses riscos. As versões afetadas vão da 7.8 até antes das versões de patch mencionadas, e a atualização é essencial para evitar a exploração dessas vulnerabilidades.

A Windscribe lançou uma atualização significativa para seu aplicativo VPN, focando na facilidade de uso e personalização. As mudanças incluem uma tela inicial mais limpa, uma seção de configurações simplificada e acesso mais rápido a configurações importantes. Os usuários agora podem escolher entre temas de interface, como o Alpha e o minimalista Van Gogh, além de modos claro e escuro para dispositivos móveis. A nova seção ‘Look and Feel’ permite personalizar ainda mais a experiência, com opções para adicionar fundos e sons personalizados ao conectar ou desconectar da VPN. A atualização também facilita o acesso a configurações cruciais, como o Auto-Secure, que ativa automaticamente a VPN em redes não confiáveis, e a troca de protocolos, que agora é feita com um único clique. Embora as opções de personalização sejam divertidas, elas também melhoram a usabilidade, especialmente para novos usuários que podem achar a interface anterior complexa. A Windscribe oferece uma versão gratuita e uma versão Pro, com preços acessíveis a partir de $5,75 por mês.

A Apache Software Foundation anunciou a correção de uma vulnerabilidade crítica no Apache DolphinScheduler, uma plataforma popular de orquestração de fluxos de trabalho distribuídos. Classificada como ‘Permissões Padrão Incorretas’, a falha afeta todas as versões anteriores à 3.2.2 e foi avaliada com baixa severidade. A vulnerabilidade resulta de configurações inadequadas de permissões padrão, permitindo acesso não autorizado a dados sensíveis e funções administrativas. Embora detalhes técnicos sobre o mecanismo de exploração não tenham sido divulgados, a falha pode permitir que atacantes contornem controles de acesso e obtenham privilégios elevados. A versão 3.3.1 já está disponível e deve ser instalada imediatamente pelos usuários afetados, evitando a versão intermediária 3.2.2. Além da atualização, é recomendado que as organizações revisem suas configurações de permissão e realizem auditorias para detectar acessos não autorizados. A Apache enfatiza a importância de manter versões atualizadas e participar de programas de reporte de segurança.

Os usuários de Android em todo o mundo devem instalar imediatamente o patch de segurança de setembro de 2025 para proteger seus dispositivos contra vulnerabilidades de alta severidade que estão sendo ativamente exploradas. Lançada em 1º de setembro de 2025, a atualização aborda várias falhas críticas, incluindo duas que já foram confirmadas como alvo de exploração limitada e direcionada.

As vulnerabilidades mais preocupantes incluem uma falha de execução remota de código no componente do sistema, que permite a execução de código arbitrário sem privilégios adicionais ou interação do usuário. Além disso, duas falhas de Elevação de Privilégios (EoP) no Android Runtime e no Sistema, ambas classificadas como de alta severidade, também requerem atenção imediata.

Pesquisadores de segurança identificaram uma vulnerabilidade crítica, chamada AR-Slip, na versão 4.4.0 da ferramenta MobSF, que permite a usuários autenticados sobrescrever arquivos arbitrários no sistema de arquivos do host. Essa falha, registrada como GHSA-9gh8-9r95-3fc3, resulta de uma validação insuficiente de nomes de arquivos absolutos durante a extração de bibliotecas estáticas. O problema ocorre quando a função ar_extract não verifica adequadamente se os caminhos são relativos, permitindo que um atacante sobrescreva arquivos críticos, como bancos de dados e arquivos de configuração. Para mitigar os riscos, os usuários devem atualizar para a versão 4.4.1, que corrige essa vulnerabilidade ao normalizar os nomes dos arquivos e garantir que os caminhos de extração permaneçam dentro do diretório designado. A exploração dessa vulnerabilidade pode levar a distorções de integridade, interrupções de serviço e até mesmo escalonamento de privilégios em sistemas mal configurados. Portanto, é crucial que as equipes de segurança implementem práticas de verificação rigorosas para evitar tais falhas no futuro.

A Microsoft anunciou a disponibilidade da versão 25H2 do Windows 11 (Build 26200.5074) para os usuários do Release Preview Channel. Esta atualização anual é entregue como um pacote de habilitação (eKB), permitindo que PCs elegíveis atualizem da versão 24H2 sem a necessidade de reinstalação completa do sistema operacional. O pacote simplesmente ativa novos recursos que já estão presentes nos dispositivos. Além disso, a versão 25H2 remove componentes legados como o PowerShell 2.0 e o WMIC, incentivando a migração para ferramentas de gerenciamento mais modernas. Para clientes comerciais, a atualização oferece opções de remoção de aplicativos pré-instalados via políticas de grupo ou MDM. A instalação está disponível para insiders que atendem aos requisitos de hardware, e os clientes comerciais têm caminhos adicionais de implantação, como Windows Update for Business e WSUS. A Microsoft também disponibilizará imagens do Azure Marketplace e ISOs para instalações limpas na próxima semana.

Em 26 de agosto de 2025, o Google lançou uma atualização para o Chrome Desktop, corrigindo uma vulnerabilidade crítica identificada como CVE-2025-9478, que afeta a biblioteca gráfica ANGLE. Essa falha de uso após a liberação (use-after-free) pode permitir a execução remota de código malicioso através de comandos específicos enviados por uma página web comprometida. A atualização está sendo distribuída gradualmente para as versões do Chrome em Windows, Mac e Linux, e é recomendada a todos os usuários que mantenham seus navegadores atualizados. O Google agradeceu à equipe de pesquisa externa, Google Big Sleep, por relatar a vulnerabilidade de forma responsável. A empresa reforça a importância de atualizações frequentes para garantir a segurança dos usuários e prevenir a exploração de falhas antes que a maioria esteja protegida.

A atualização de segurança de agosto de 2025 para o Windows 11 versão 24H2 e Windows 10 trouxe uma série de problemas, incluindo lentidão severa em dispositivos que utilizam ferramentas de streaming NDI, como OBS. Os usuários relataram travamentos e degradação de desempenho após a instalação da atualização KB5063878. A Microsoft recomenda uma solução temporária, que envolve a mudança do modo de recebimento NDI para TCP ou UDP. Além disso, a atualização causou falhas na instalação via WSUS para clientes empresariais, que já foram resolvidas. Outros problemas incluem a falta de prompt de consentimento parental em navegadores não-Edge e incompatibilidades com drivers específicos, como o sprotect.sys e o Dirac Audio, que impedem a atualização em alguns dispositivos. A Microsoft está trabalhando em soluções para esses problemas, mas os usuários são aconselhados a verificar a compatibilidade de seus sistemas antes de proceder com a atualização.

A Apple lançou um patch de segurança para corrigir uma falha de zero-day identificada como CVE-2025-43300, que afeta dispositivos com iOS e iPadOS. Essa vulnerabilidade, que permite a execução remota de código, foi explorada em ataques sofisticados direcionados a indivíduos específicos. O problema reside em um erro de escrita fora dos limites no framework ImageIO, que gerencia arquivos de imagem. A falha possibilita que imagens maliciosas enviadas por e-mail ou mensagens causem corrupção de memória, levando a possíveis crashes ou execução de malware. A Apple implementou melhorias nos checagens de limites nas versões iOS 18.6.2 e iPadOS 18.6.2, entre outras atualizações. É importante que os usuários atualizem seus dispositivos imediatamente, pois há evidências de que a vulnerabilidade está sendo explorada ativamente. A falha afeta uma ampla gama de dispositivos, incluindo iPhones a partir do modelo XS e diversos modelos de iPads. Este é o sexto zero-day corrigido pela Apple em 2025, destacando a necessidade de vigilância constante em relação à segurança dos dispositivos.