<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Hollowbyte on BR Defense Center</title><link>https://brdefense.center/tags/hollowbyte/</link><description>Recent content in Hollowbyte on BR Defense Center</description><generator>Hugo</generator><language>pt-br</language><lastBuildDate>Fri, 17 Jul 2026 19:36:01 -0300</lastBuildDate><atom:link href="https://brdefense.center/tags/hollowbyte/index.xml" rel="self" type="application/rss+xml"/><item><title>Vulnerabilidade HollowByte afeta servidores OpenSSL com DoS</title><link>https://brdefense.center/news/vulnerabilidade-hollowbyte-afeta-servidores-openss/</link><pubDate>Fri, 17 Jul 2026 19:36:01 -0300</pubDate><guid>https://brdefense.center/news/vulnerabilidade-hollowbyte-afeta-servidores-openss/</guid><description>&lt;p>Uma nova vulnerabilidade chamada HollowByte permite que atacantes não autenticados provoquem uma condição de negação de serviço (DoS) em servidores OpenSSL com um payload malicioso de apenas 11 bytes. A equipe do OpenSSL corrigiu silenciosamente a falha e retrocedeu o patch para versões mais antigas. Durante o handshake TLS, versões vulneráveis do OpenSSL alocam memória com base em um cabeçalho de 4 bytes que declara o tamanho da mensagem, sem validar o payload. Isso permite que um atacante envie um cabeçalho que indica um tamanho maior do que o real, fazendo com que o servidor aloque memória desnecessária e bloqueie, aguardando dados que nunca chegam. O ataque pode ser repetido em várias conexões, causando um aumento significativo no uso de memória do servidor. Embora a falha tenha sido corrigida nas versões mais recentes do OpenSSL, a Okta recomenda que as organizações atualizem suas bibliotecas imediatamente, pois a vulnerabilidade pode causar interrupções operacionais e danos à reputação. A HollowByte foi testada em ambientes como NGINX, onde servidores de baixa capacidade podem ser facilmente esgotados de memória. Apesar de ser uma falha de DoS, que é considerada menos severa do que vulnerabilidades que permitem roubo de dados, ainda assim representa um risco significativo para a operação de serviços online.&lt;/p></description></item></channel></rss>