Segurança

Uma vulnerabilidade crítica de execução remota de código (RCE) no Redis, identificada como CVE-2025-49844, expõe uma falha perigosa na imagem oficial do contêiner Redis, que passou despercebida por mais de uma década. Essa falha permite que atacantes não autenticados explorem uma vulnerabilidade de uso após a liberação na engine de scripts Lua do Redis, possibilitando a execução de código arbitrário no sistema host. Com a imagem oficial do Redis sendo utilizada em 57% dos ambientes em nuvem e sem autenticação por padrão, instâncias expostas à internet se tornam alvos fáceis para agentes maliciosos. O processo de exploração, denominado “RediShell”, envolve o envio de scripts Lua maliciosos que contornam os mecanismos de sandboxing, levando à corrupção de memória e à execução de código. Uma vez que o controle é estabelecido, os atacantes podem roubar chaves SSH, tokens IAM e implantar backdoors. A vulnerabilidade foi reportada pela primeira vez em maio de 2025 e um aviso de segurança foi publicado em outubro de 2025, destacando a urgência de atualização das instâncias do Redis. Organizações devem priorizar a aplicação de patches e a implementação de medidas de autenticação robustas para evitar possíveis violações de dados e compromissos de sistemas.

Engenheiros da Unity identificaram uma vulnerabilidade de segurança em sua plataforma de desenvolvimento de jogos, que permite a visualização e o roubo de dados dos usuários em aplicativos construídos com a engine. Essa falha, que permaneceu oculta por quase uma década, foi corrigida com um patch recente, mas muitos jogos ainda precisam ser atualizados para eliminar o problema. Entre os títulos afetados estão Fallout Shelter, Overcooked 2 e Wasteland 3. Embora a Unity tenha afirmado que a vulnerabilidade não afetou usuários, a possibilidade de ataques ainda existe, especialmente se arquivos maliciosos já estiverem presentes no sistema do usuário. A execução de códigos maliciosos seria limitada ao nível de privilégio do aplicativo vulnerável, o que significa que o risco aumenta se o jogo for executado em modo de administrador. Portanto, é crucial que os jogadores atualizem seus jogos assim que as correções estiverem disponíveis.

Uma falha crítica de segurança foi identificada no Zabbix Agent e Agent2 para Windows, permitindo que atacantes locais escalem privilégios para o nível SYSTEM. A vulnerabilidade, rastreada como CVE-2025-27237, ocorre devido à forma como o agente carrega seu arquivo de configuração do OpenSSL durante a inicialização do serviço. Em versões afetadas, esse arquivo está armazenado em um diretório onde usuários não administrativos têm acesso de gravação. Um atacante pode substituir ou modificar esse arquivo para referenciar uma DLL maliciosa, forçando o agente a carregar e executar código arbitrário como usuário SYSTEM ao reiniciar o serviço. As versões vulneráveis incluem Zabbix Agent e Agent2 de 6.0.0 a 6.0.40, 7.0.0 a 7.0.17, 7.2.0 a 7.2.11 e 7.4.0 a 7.4.1. Para mitigar essa vulnerabilidade, os administradores devem atualizar para versões corrigidas e reiniciar o serviço. A falha foi divulgada de forma responsável e confirmada pela equipe de suporte do Zabbix, que recomenda a aplicação imediata do patch para evitar a exploração da vulnerabilidade.

Uma vulnerabilidade crítica no Sudo, identificada como CVE-2025-32463, foi recentemente divulgada, permitindo que atacantes obtenham privilégios de root em sistemas Linux afetados. O código malicioso, que foi disponibilizado como uma prova de conceito (PoC) por meio do GitHub, permite que usuários locais com contas não privilegiadas explorem uma falha na funcionalidade chroot do Sudo, elevando seu acesso a controle total do sistema. As versões afetadas incluem o Sudo de 1.9.14 a 1.9.17, enquanto versões anteriores não são impactadas. A exploração dessa vulnerabilidade pode resultar em movimentos laterais dentro da rede, comprometendo a segurança de toda a infraestrutura de TI. Especialistas em segurança recomendam que as organizações atualizem para a versão 1.9.17p1 ou posterior, onde a falha foi corrigida. Além disso, o uso de frameworks de segurança como AppArmor ou SELinux é aconselhado para restringir o comportamento do Sudo. A detecção proativa de tentativas de exploração é essencial para mitigar riscos. A liberação pública do PoC aumenta significativamente o risco para sistemas não corrigidos, tornando a atualização imediata uma prioridade.

A Oracle divulgou uma atualização emergencial para corrigir uma falha de segurança crítica em seu E-Business Suite, identificada como CVE-2025-61882, com uma pontuação CVSS de 9.8. Essa vulnerabilidade permite que um atacante não autenticado, com acesso à rede via HTTP, comprometa o componente de Processamento Concorrente da Oracle. A empresa alertou que, se explorada com sucesso, essa falha pode resultar em execução remota de código. O Chief Security Officer da Oracle, Rob Duhart, afirmou que a atualização foi lançada para mitigar potenciais explorações adicionais descobertas durante a investigação. A vulnerabilidade está relacionada a uma onda recente de ataques de roubo de dados do grupo Cl0p, que utilizou múltiplas falhas, incluindo algumas já corrigidas em atualizações anteriores. A Mandiant, subsidiária do Google, destacou que o Cl0p explorou essas vulnerabilidades para roubar grandes quantidades de dados de várias vítimas. Diante da exploração em massa de zero-days, as organizações devem verificar se já foram comprometidas, independentemente da aplicação do patch.

O Google Chrome lançou a versão 141, que inclui correções para 21 vulnerabilidades de segurança, abrangendo desde falhas de alta severidade, como estouros de buffer, até vulnerabilidades de baixa severidade. A atualização será disponibilizada automaticamente para usuários de Windows, macOS e Linux nas próximas semanas. Entre as falhas corrigidas, destacam-se CVEs como CVE-2025-11205 e CVE-2025-11206, que resultaram em recompensas significativas para os pesquisadores que as relataram. O Google implementou melhorias de segurança internas e campanhas de fuzzing contínuas para fortalecer a resiliência do navegador contra novas ameaças. Além das correções de segurança, a versão 141 traz melhorias de desempenho e otimizações que beneficiam especialmente dispositivos com menor capacidade de processamento. Os usuários são incentivados a atualizar o navegador o mais rápido possível para garantir a proteção contra essas vulnerabilidades. Para administradores de TI, recomenda-se testar a nova versão em ambientes controlados antes de uma implementação em larga escala.

Uma grave vulnerabilidade foi identificada na imagem oficial do Docker para o Termix, permitindo acesso não autenticado a credenciais SSH sensíveis. A configuração incorreta do proxy reverso Nginx faz com que o backend do Termix reconheça todas as solicitações como originadas do localhost, resultando em acesso irrestrito ao endpoint interno que expõe informações de hosts SSH, incluindo endereços de servidores, nomes de usuários e senhas. Essa falha, classificada como CVE-2025-59951, é uma violação de controle de acesso e pode ser explorada por qualquer usuário que consiga alcançar o proxy. Para mitigar o problema, os mantenedores do Termix devem implementar validações adequadas para os cabeçalhos X-Real-IP ou X-Forwarded-For e reforçar controles de autenticação. Organizações que utilizam versões da imagem do Termix entre release-0.1.1-tag e release-1.6.0-tag estão em risco e devem auditar suas implementações, rotacionar chaves SSH expostas e atualizar para uma versão corrigida assim que disponível.

Uma nova técnica de rootkit chamada FlipSwitch foi descoberta, permitindo que atacantes contornem as melhorias de segurança do kernel Linux 6.9. Essa técnica representa um retrocesso na proteção do sistema, pois os invasores agora visam a lógica do novo despachante de chamadas do kernel, em vez de sobrescrever a tabela de chamadas de sistema, uma abordagem que se tornou obsoleta. O FlipSwitch funciona ao localizar e reescrever o código de máquina do próprio kernel dentro do despachante de chamadas do sistema, redirecionando a execução para manipuladores maliciosos. Essa técnica é reversível, permitindo que os atacantes removam vestígios de sua presença. A detecção de rootkits de kernel é desafiadora, mas pesquisadores lançaram uma assinatura YARA para identificar o FlipSwitch, tanto em disco quanto na memória. Essa evolução nas técnicas de ataque destaca a constante luta entre o endurecimento do Linux e a adaptação dos invasores, mostrando que o progresso defensivo não elimina a ameaça, mas muda suas regras.

A Apple lançou uma atualização de segurança para o macOS Sequoia 15.7.1, corrigindo uma vulnerabilidade crítica no sistema de parsing de fontes, identificada como CVE-2025-43400. Essa falha permite que arquivos de fontes maliciosos provoquem operações de escrita fora dos limites, resultando em corrupção de memória e possíveis crashes de aplicativos. Embora não haja relatos de exploração ativa até o momento, a vulnerabilidade afeta diversas plataformas da Apple, incluindo iOS e iPadOS, evidenciando a interconexão dos componentes do sistema operacional da empresa. A atualização foi disponibilizada em 29 de setembro de 2025 e é crucial que os usuários a instalem imediatamente, especialmente em ambientes corporativos onde arquivos de fontes podem ser processados automaticamente. A natureza da vulnerabilidade sugere que, se explorada, poderia ser utilizada como um ponto de partida para ataques mais sofisticados, como execução remota de código. Portanto, a Apple recomenda que todos os usuários verifiquem suas configurações de atualização para garantir que a correção seja aplicada.

A Python Software Foundation alertou sobre uma nova onda de ataques de phishing direcionados a desenvolvedores que utilizam a linguagem Python, especificamente através do Python Package Index (PyPI). Os golpistas estão enviando e-mails fraudulentos solicitando que os usuários verifiquem suas contas sob a ameaça de suspensão, levando-os a um site falso, pypi-mirror.org, que imita a página oficial do PyPI. Ao clicar no link, as vítimas podem ter suas credenciais de acesso roubadas. O PyPI é uma plataforma amplamente utilizada, hospedando mais de 681.400 projetos e 15 milhões de arquivos, tornando-se um alvo atrativo para ataques cibernéticos. O risco é significativo, pois os hackers podem não apenas roubar projetos, mas também injetar malwares em pacotes existentes ou publicar novos projetos maliciosos, afetando usuários e comprometendo dados sensíveis, como credenciais e informações financeiras. A fundação recomenda que os desenvolvedores alterem suas senhas imediatamente e revisem suas contas em busca de atividades suspeitas. Este ataque é parte de uma campanha mais ampla que já afetou a cadeia de suprimentos de software, com incidentes semelhantes ocorrendo no ecossistema npm.

Uma vulnerabilidade crítica foi identificada no componente de compartilhamento de arquivos ksmbd do Kernel Linux, permitindo que atacantes remotos executem código arbitrário com privilégios totais do kernel. Classificada como CVE-2025-38561, a falha afeta distribuições Linux que utilizam a implementação do servidor SMB ksmbd. Embora a autenticação válida seja necessária, a exploração bem-sucedida pode levar a uma completa compromissão do sistema, tornando a aplicação de patches urgente para administradores e fornecedores.

Um novo artigo destaca a vulnerabilidade dos iframes de pagamento, que estão sendo explorados por atacantes através de técnicas de sobreposição maliciosa para roubar dados de cartões de crédito. A campanha de skimming do Stripe, ocorrida em agosto de 2024, exemplifica essa ameaça, onde 49 comerciantes foram comprometidos. Os atacantes injetam JavaScript malicioso em plataformas vulneráveis, como o WordPress, para substituir iframes legítimos por réplicas perfeitas que capturam informações do usuário sem que ele perceba.

A SonicWall anunciou uma atualização de segurança urgente para seus dispositivos Secure Mobile Access (SMA) da série 100, visando eliminar um rootkit persistente conhecido como ‘OVERSTEP’. A atualização, identificada como versão 10.2.2.2-92sv, introduz verificações de integridade de arquivos aprimoradas, capazes de detectar e remover componentes maliciosos implantados por essa ameaça. Organizações que utilizam os modelos SMA 210, 410 e 500v são fortemente aconselhadas a aplicar o patch imediatamente para mitigar riscos de exploração. O rootkit OVERSTEP foi identificado pela Google Threat Intelligence Group (GTIG) como uma ameaça sofisticada, capaz de estabelecer acesso encoberto e persistente a redes corporativas, permitindo que atacantes se movam lateralmente, exfiltrando dados e implantando cargas adicionais. A SonicWall enfatiza que a única forma de eliminar a ameaça é atualizar para a versão corrigida, pois não há soluções alternativas viáveis. O não cumprimento dessa recomendação pode expor as redes a acessos não autorizados e vigilância persistente. O patch não afeta as appliances da série SMA1000 e as funcionalidades SSL-VPN em produtos de firewall da SonicWall.

Um incidente alarmante ocorreu com o streamer letão Raivo Plavnieks, conhecido como RastalandTV, que teve mais de R$ 170 mil roubados de sua carteira de criptomoedas após baixar o jogo Block Blasters, disponível na plataforma Steam. O jogo, que estava ativo entre 30 de julho e 21 de setembro de 2025, foi inicialmente considerado seguro, mas em 30 de agosto, recebeu um dropper que instalou um aplicativo malicioso em computadores de jogadores. O malware coletava informações sensíveis, como dados de login do Steam e endereços IP, enviando-os para os golpistas. A investigação revelou que até 478 contas de usuários do Steam foram comprometidas, com perdas totais estimadas em até US$ 150.000. O caso destaca a vulnerabilidade de jogadores que possuem criptomoedas e a necessidade de cautela ao baixar jogos, especialmente aqueles com avaliações positivas, mas que podem esconder malwares. A Valve, responsável pelo Steam, ainda não se pronunciou sobre o incidente. Usuários afetados são aconselhados a trocar suas senhas e transferir seus ativos digitais para carteiras mais seguras.

O Google lançou uma atualização de segurança emergencial para o Chrome após a descoberta de uma vulnerabilidade crítica de zero-day, que está sendo ativamente explorada por atacantes. A versão 140.0.7339.185/.186 para Windows e Mac, e 140.0.7339.185 para Linux, foi disponibilizada em 17 de setembro de 2025, corrigindo quatro falhas de segurança de alta gravidade, incluindo a CVE-2025-10585. Essa vulnerabilidade, classificada como um erro de confusão de tipo no motor JavaScript V8 do Chrome, permite que atacantes corrompam a memória e executem código remotamente. O Google confirmou que um exploit para essa vulnerabilidade já está em uso, o que representa um risco significativo para os usuários. Além da CVE-2025-10585, a atualização também corrige outras falhas críticas, como CVE-2025-10500, CVE-2025-10501 e CVE-2025-10502, que envolvem vulnerabilidades de uso após liberação de memória e estouro de buffer. Os usuários do Chrome devem atualizar imediatamente seus navegadores para mitigar esses riscos, e as organizações devem implementar monitoramento de rede para detectar tentativas de exploração.

Uma vulnerabilidade de alta severidade foi descoberta na biblioteca cliente C# do Kubernetes, comprometendo a integridade das comunicações com o servidor API e abrindo espaço para ataques do tipo man-in-the-middle (MiTM). Identificada como CVE-2025-9708, a falha resulta de uma validação inadequada de certificados no modo de Autoridade Certificadora (CA) personalizada. O cliente aceita qualquer certificado assinado pela CA fornecida, sem verificar a cadeia de confiança completa. Isso permite que atacantes apresentem certificados falsificados e interceptem ou manipulem o tráfego sensível do plano de controle. A vulnerabilidade afeta todas as versões do cliente C# do Kubernetes até a versão 17.0.13, especialmente em ambientes que utilizam certificados CA personalizados. Embora a falha tenha um escore CVSS de 6.8, indicando uma severidade média, ela representa um risco significativo em ambientes de desenvolvimento e produção. O projeto Kubernetes já lançou uma correção na versão 17.0.14, e recomenda-se que os usuários atualizem imediatamente. Enquanto isso, uma solução temporária é mover os certificados CA personalizados para o armazenamento de confiança do sistema, embora isso amplie a confiança para todos os processos no host. As equipes devem auditar arquivos kubeconfig e monitorar logs para detectar possíveis explorações.

A Apple anunciou a correção de uma vulnerabilidade crítica (CVE-2025-43300) em seu componente ImageIO, que permite a corrupção de memória ao processar arquivos de imagem maliciosos. Com uma pontuação CVSS de 8.8, essa falha foi identificada como parte de ataques sofisticados direcionados a menos de 200 indivíduos. Além disso, a WhatsApp confirmou que uma vulnerabilidade em seus aplicativos para iOS e macOS (CVE-2025-55177, CVSS 5.4) foi encadeada com a falha da Apple, potencializando os riscos de espionagem. As atualizações de segurança foram disponibilizadas para várias versões do iOS e macOS, incluindo versões mais antigas, visando proteger dispositivos como iPhone 8, iPhone 6s e iPad Air 2. Embora não haja evidências de que as falhas tenham sido amplamente exploradas, a Apple recomenda que os usuários mantenham seus sistemas atualizados para garantir a proteção. Além da correção das vulnerabilidades mencionadas, a atualização também aborda outras falhas de segurança em componentes como Safari e WebKit, que poderiam permitir acesso não autorizado a dados sensíveis e causar falhas inesperadas no sistema.

A Samsung lançou suas atualizações mensais de segurança para o Android, incluindo um patch para uma vulnerabilidade crítica identificada como CVE-2025-21043, que possui uma pontuação CVSS de 8.8. Essa falha, relacionada a uma escrita fora dos limites no arquivo libimagecodec.quram.so, permite que atacantes remotos executem código arbitrário em dispositivos afetados. A vulnerabilidade impacta as versões 13, 14, 15 e 16 do Android e foi divulgada à Samsung em 13 de agosto de 2025. Embora a empresa não tenha fornecido detalhes sobre como a vulnerabilidade está sendo explorada, reconheceu que um exploit já está em circulação. Essa situação surge após a Google ter resolvido duas falhas de segurança em Android que também estavam sendo exploradas em ataques direcionados. A correção é essencial para proteger os usuários de dispositivos Samsung contra possíveis ataques que possam comprometer a segurança de seus dados.

A SAP lançou atualizações de segurança para corrigir várias falhas, incluindo três vulnerabilidades críticas no SAP NetWeaver. A primeira, CVE-2025-42944, com uma pontuação CVSS de 10.0, é uma vulnerabilidade de desserialização que permite a um atacante não autenticado executar comandos do sistema operacional ao enviar um payload malicioso para uma porta aberta. A segunda, CVE-2025-42922, com pontuação de 9.9, permite que um usuário autenticado não administrativo faça o upload de arquivos arbitrários. A terceira, CVE-2025-42958, com pontuação de 9.1, envolve uma falha de verificação de autenticação que pode permitir que usuários não autorizados acessem informações sensíveis e funcionalidades administrativas. Além disso, uma vulnerabilidade de validação de entrada no SAP S/4HANA (CVE-2025-42916) foi identificada, permitindo que atacantes com acesso privilegiado excluam o conteúdo de tabelas de banco de dados. Embora não haja evidências de que essas falhas tenham sido exploradas ativamente, é crucial que os usuários apliquem as atualizações o mais rápido possível para garantir a proteção adequada.

A plataforma de streaming Plex confirmou um vazamento de dados, alertando seus usuários para que mudem suas senhas imediatamente. Um agente não autorizado teve acesso a um banco de dados que inclui e-mails, nomes de usuário e dados de autenticação. Embora as senhas estejam cifradas, a empresa recomenda a troca das credenciais, pois os invasores podem ter conhecimento sobre o número de caracteres das senhas. Para facilitar a mudança, os usuários podem acessar o link https://plex.tv/reset. Além disso, o Plex sugere que os usuários desconectem todos os dispositivos após a alteração da senha e, caso utilizem um login único (SSO), que também realizem a desconexão em todos os dispositivos. A empresa enfatiza a importância da autenticação em duas etapas para aumentar a segurança das contas, já que isso pode impedir o acesso mesmo que a senha seja comprometida. O incidente destaca a necessidade de vigilância constante em relação à segurança de dados pessoais em plataformas digitais.

A Ivanti divulgou um aviso de segurança em setembro de 2025, alertando sobre onze vulnerabilidades em seu portfólio de Acesso Seguro, que inclui o Connect Secure, Policy Secure e ZTA Gateways. Dentre as falhas, seis são de severidade média e cinco de alta severidade, com destaque para problemas de bypass de autorização e CSRF (Cross-Site Request Forgery). Essas vulnerabilidades permitem que usuários autenticados com privilégios limitados modifiquem configurações restritas, possibilitando a escalada de privilégios. Além disso, atacantes não autenticados podem induzir vítimas a executar ações sensíveis com mínima interação. A Ivanti recomenda que os administradores apliquem patches ou mitigações imediatamente para proteger a infraestrutura de acesso remoto. As falhas incluem também problemas de negação de serviço e injeção de texto refletido, que, embora classificadas como de severidade média, podem facilitar ataques mais amplos. A empresa aconselha que portais administrativos não sejam acessíveis publicamente para reduzir a exposição a riscos. Os patches estão disponíveis para as versões afetadas, e a Ivanti agradece ao pesquisador de segurança Nikolay Semov pela colaboração na identificação de uma das falhas.

Uma vulnerabilidade crítica foi identificada na plataforma Argo CD, amplamente utilizada para entrega contínua em ambientes Kubernetes. Essa falha permite que tokens de API com permissões básicas de projeto acessem credenciais sensíveis de repositórios, incluindo nomes de usuário e senhas. A vulnerabilidade, designada como GHSA-786q-9hcg-v9ff, foi revelada pelo pesquisador de segurança Michael Crenshaw e afeta todas as versões do Argo CD a partir da 2.2.0-rc1.

O problema ocorre no endpoint da API de detalhes do projeto (/api/v1/projects/{project}/detailed), onde tokens com permissões padrão podem recuperar credenciais sem a necessidade de acesso explícito a segredos. Isso representa uma séria escalada de privilégios, pois tokens destinados a operações rotineiras de aplicação obtêm acesso não autorizado a dados de autenticação sensíveis. A falha não se limita apenas a permissões de nível de projeto, mas também se estende a qualquer token com permissões de obtenção de projeto, aumentando o impacto potencial em implementações empresariais do Argo CD.

Uma vulnerabilidade de alta severidade no SAP S/4HANA, identificada como CVE-2025-42957 e com um score CVSS de 9.9, está sendo ativamente explorada. Essa falha permite que um usuário com privilégios baixos, que possua acesso mínimo ao SAP, realize injeção de código remoto, resultando em uma tomada de controle total do sistema. A vulnerabilidade foi descoberta pelo SecurityBridge em 27 de junho de 2025 e divulgada de forma responsável à SAP, que lançou correções em 11 de agosto de 2025. No entanto, tentativas de exploração já foram observadas no mundo real. Para que um ataque seja bem-sucedido, é necessário apenas um usuário SAP válido com acesso a um módulo RFC vulnerável e a autorização S_DMIS com atividade 02. Uma vez explorada, a falha permite ao atacante executar código ABAP arbitrário, modificar ou excluir registros no banco de dados SAP, criar novos usuários administrativos com privilégios totais e até implantar ransomware. As organizações que utilizam SAP S/4HANA, tanto em ambientes on-premise quanto em nuvem privada, devem aplicar as atualizações de segurança imediatamente para mitigar esse risco crítico.

Uma vulnerabilidade crítica de segurança, identificada como CVE-2025-42957, está afetando o software SAP S/4HANA, amplamente utilizado para gestão empresarial. Com uma pontuação CVSS de 9.9, essa falha permite a injeção de código ABAP arbitrário por atacantes com privilégios de usuário, comprometendo a confidencialidade, integridade e disponibilidade do sistema. A exploração bem-sucedida pode levar a sérias consequências, como a modificação de bancos de dados, criação de contas de superusuário e instalação de ransomware. A empresa SecurityBridge alertou que a exploração ativa já foi observada, afetando tanto as edições on-premise quanto as de nuvem privada. Embora a exploração em larga escala ainda não tenha sido detectada, a facilidade de engenharia reversa do patch torna a situação alarmante. As organizações são aconselhadas a aplicar os patches imediatamente, monitorar logs em busca de chamadas RFC suspeitas e implementar medidas de segmentação e backup adequadas. Recomenda-se também a implementação do SAP UCON para restringir o uso de RFC e revisar o acesso ao objeto de autorização S_DMIS.

A Microsoft reconheceu que a atualização de segurança de agosto de 2025 (KB5063878) está gerando prompts inesperados do Controle de Conta de Usuário (UAC) para usuários não administradores ao tentar reparar ou atualizar certos aplicativos. Essa mudança foi implementada para reforçar a segurança do Windows Installer, corrigindo uma vulnerabilidade (CVE-2025-50173) que poderia ser explorada por atacantes. Como consequência, programas comuns, como AutoCAD e Civil 3D, agora solicitam aprovação de administrador para operações que antes eram realizadas sem essa necessidade. Além disso, aplicativos mais antigos, como o Office 2010, podem falhar completamente quando executados em contas padrão. A Microsoft planeja, em atualizações futuras, permitir que administradores de TI aprovem aplicativos específicos para realizar essas operações de reparo sem interrupções constantes. Até que essa solução seja implementada, os usuários devem estar cientes de que a exigência de permissões administrativas não indica um problema com os aplicativos, mas sim uma medida de segurança adicional do Windows.

A Apache Software Foundation anunciou a correção de uma vulnerabilidade crítica no Apache DolphinScheduler, uma plataforma popular de orquestração de fluxos de trabalho distribuídos. Classificada como ‘Permissões Padrão Incorretas’, a falha afeta todas as versões anteriores à 3.2.2 e foi avaliada com baixa severidade. A vulnerabilidade resulta de configurações inadequadas de permissões padrão, permitindo acesso não autorizado a dados sensíveis e funções administrativas. Embora detalhes técnicos sobre o mecanismo de exploração não tenham sido divulgados, a falha pode permitir que atacantes contornem controles de acesso e obtenham privilégios elevados. A versão 3.3.1 já está disponível e deve ser instalada imediatamente pelos usuários afetados, evitando a versão intermediária 3.2.2. Além da atualização, é recomendado que as organizações revisem suas configurações de permissão e realizem auditorias para detectar acessos não autorizados. A Apache enfatiza a importância de manter versões atualizadas e participar de programas de reporte de segurança.

Em setembro de 2025, o Google lançou atualizações de segurança para corrigir 120 vulnerabilidades no sistema operacional Android, incluindo duas falhas críticas que já foram exploradas em ataques direcionados. As vulnerabilidades CVE-2025-38352 e CVE-2025-48543, ambas relacionadas a escalonamento de privilégios, permitem que um invasor obtenha acesso elevado sem a necessidade de permissões adicionais ou interação do usuário. O Google não divulgou detalhes sobre como essas falhas foram utilizadas em ataques reais, mas indicou que há evidências de exploração limitada e direcionada. Além dessas, foram corrigidas várias outras vulnerabilidades que afetam componentes do Framework e do Sistema, incluindo falhas de execução remota de código e negação de serviço. Para facilitar a implementação das correções, o Google disponibilizou dois níveis de patch de segurança, permitindo que parceiros do Android abordem rapidamente as vulnerabilidades comuns. A empresa enfatizou a importância de que todos os parceiros implementem as correções recomendadas. Este cenário destaca a necessidade de vigilância contínua e atualização dos sistemas para mitigar riscos de segurança.

Os usuários de Android em todo o mundo devem instalar imediatamente o patch de segurança de setembro de 2025 para proteger seus dispositivos contra vulnerabilidades de alta severidade que estão sendo ativamente exploradas. Lançada em 1º de setembro de 2025, a atualização aborda várias falhas críticas, incluindo duas que já foram confirmadas como alvo de exploração limitada e direcionada.

As vulnerabilidades mais preocupantes incluem uma falha de execução remota de código no componente do sistema, que permite a execução de código arbitrário sem privilégios adicionais ou interação do usuário. Além disso, duas falhas de Elevação de Privilégios (EoP) no Android Runtime e no Sistema, ambas classificadas como de alta severidade, também requerem atenção imediata.

Recentemente, circularam rumores de que o Google havia enviado um alerta de segurança urgente a todos os usuários do Gmail. No entanto, a empresa confirmou que não houve tal notificação em massa. O Gmail utiliza uma estratégia de defesa em camadas, que inclui autenticação de remetente através de protocolos como SPF, DKIM e DMARC, além de análise de conteúdo para detectar anexos maliciosos e URLs embutidos. O sistema de detecção de anomalias, apoiado por modelos de aprendizado de máquina, analisa bilhões de sinais anônimos para identificar comportamentos incomuns. Essa abordagem impede que mais de 99,9% das ameaças de phishing e malware cheguem às caixas de entrada dos usuários. O Google também recomenda que os usuários adotem métodos de autenticação modernos, como Passkeys, que eliminam os riscos associados ao roubo de senhas. Além disso, o Gmail oferece avisos de phishing e incentiva os usuários a reportarem mensagens suspeitas, contribuindo para a melhoria contínua dos algoritmos de detecção. Para aumentar a segurança, o Google sugere que os usuários verifiquem cuidadosamente os endereços dos remetentes e mantenham seus dispositivos atualizados.

Uma nova campanha de phishing sofisticada está afetando usuários do WhatsApp, onde mensagens enganosas de contatos, como “Oi, encontrei sua foto por acaso!”, são utilizadas para induzir cliques em links maliciosos. Ao clicar, as vítimas são redirecionadas para uma página falsa de login do Facebook, onde, ao inserir suas credenciais, os hackers conseguem explorar a funcionalidade de vinculação de dispositivos do WhatsApp. Isso permite que os atacantes assumam o controle total das conversas, mídias e contatos da vítima.

A MediaTek divulgou seu Boletim de Segurança de Produtos de setembro de 2025, revelando várias vulnerabilidades críticas em seus chipsets e firmware de modem. O boletim classifica sete falhas, sendo três de alta severidade que podem permitir escalonamento de privilégios remoto ou negação de serviço quando um equipamento de usuário se conecta a uma estação base maliciosa. As falhas de alta severidade incluem CVE-2025-20708 e CVE-2025-20703, que envolvem acessos de memória fora dos limites, e CVE-2025-20704, que requer reconexão do usuário a uma rede comprometida. As vulnerabilidades de severidade média, relacionadas ao uso após a liberação de memória, afetam módulos específicos em versões do Android e Linux. A MediaTek já forneceu patches para corrigir essas falhas, e os fabricantes de dispositivos devem garantir que as atualizações de firmware sejam implementadas. A empresa não encontrou evidências de exploração ativa dessas vulnerabilidades até o momento, mas recomenda que os OEMs integrem as correções e realizem testes de segurança para evitar possíveis ataques futuros.

A Click Studios, responsável pelo Passwordstate, um gerenciador de senhas voltado para empresas, alertou os usuários sobre uma vulnerabilidade crítica de bypass de autenticação. A falha, identificada na versão 9.9 - Build 9972, permite que atacantes acessem a seção de administração do Passwordstate sem a devida autenticação, utilizando uma URL manipulada na página de Acesso Emergencial. A empresa recomenda que todos os clientes atualizem suas instâncias imediatamente para mitigar os riscos associados a essa vulnerabilidade. Embora o ID CVE da falha ainda esteja pendente, a exploração dessa vulnerabilidade pode ter um impacto severo, dependendo da facilidade de execução. Para aqueles que não conseguem aplicar o patch rapidamente, a Click Studios sugere uma solução temporária: restringir o acesso à página de Acesso Emergencial a endereços IP específicos. O Passwordstate é amplamente utilizado por mais de 370.000 usuários em 29.000 empresas, incluindo instituições governamentais e financeiras. Portanto, a atualização é crucial para garantir a segurança das informações armazenadas.

O Hikvision Security Response Center (HSRC) divulgou três falhas críticas em seu software HikCentral, identificadas como CVE-2025-39245 a CVE-2025-39247. As vulnerabilidades incluem injeção de CSV, que permite a execução de comandos arbitrários ao importar arquivos maliciosos, e falhas de controle de acesso que podem permitir que usuários não autenticados adquiram privilégios administrativos. A injeção de CSV afeta versões do HikCentral Master Lite entre V2.2.1 e V2.3.2, enquanto a falha de caminho de serviço não citado afeta o HikCentral FocSign nas versões V1.4.0 a V2.2.0. A falha de bypass de controle de acesso, considerada a mais crítica, afeta o HikCentral Professional nas versões V2.3.1 a V2.6.2, com um escore CVSS de 8.6, indicando um alto potencial de controle não autorizado sobre sistemas de vigilância. A Hikvision recomenda que os usuários atualizem imediatamente para as versões corrigidas para evitar possíveis explorações.

A empresa de segurança em nuvem Zscaler identificou 77 aplicativos maliciosos na Google Play Store, que juntos somavam 19 milhões de downloads. A maioria desses aplicativos se disfarçava como ferramentas utilitárias ou de personalização, mas continha malwares, incluindo o trojan Anatsa, que rouba dados bancários. Essa versão do Anatsa é capaz de detectar teclas digitadas, ler e enviar SMS, e evitar detecções. Além disso, 66% dos aplicativos eram adware, enquanto 25% continham o malware Joker, que pode acessar mensagens, tirar prints de tela e cadastrar usuários em serviços pagos sem autorização. Os aplicativos maliciosos afetaram até 831 instituições em todo o mundo, incluindo bancos e operadores de criptomoedas. Após a análise, a Google removeu os aplicativos da loja. Para se proteger, é recomendado ativar o Play Protect e ter cautela ao baixar aplicativos, confiando apenas em publicadores de boa reputação e limitando permissões desnecessárias.

Administradores do FreePBX estão em alerta após a descoberta de uma vulnerabilidade crítica de 0-Day no módulo Endpoint Manager. Identificada em 21 de agosto de 2025, a falha permite que atacantes realizem escalonamento de privilégios não autenticados, levando à execução remota de código (RCE). Isso significa que invasores podem obter privilégios administrativos sem credenciais válidas, especialmente se a interface de administração estiver exposta a redes hostis. A equipe de segurança da Sangoma emitiu um aviso de emergência em 26 de agosto, recomendando que os operadores isolem imediatamente os sistemas afetados e bloqueiem o acesso público às portas 80 e 443. Além disso, é sugerido que os administradores verifiquem a presença do módulo Endpoint e apliquem o patch oficial ou removam o módulo vulnerável. A análise forense deve incluir a verificação de logs do servidor web e a busca por padrões de comprometimento. Para a proteção a longo prazo, recomenda-se a desativação de módulos comerciais não utilizados e a implementação de autenticação multifator (MFA) para acesso administrativo. A combinação de isolamento imediato, análise forense e endurecimento proativo pode ajudar a mitigar o impacto dessa vulnerabilidade.

A Cisco emitiu um alerta de segurança crítico sobre uma vulnerabilidade no Integrated Management Controller (IMC), que afeta a funcionalidade do Teclado Virtual Video Monitor (vKVM). A falha, descoberta durante testes internos, resulta de uma verificação inadequada dos endpoints do vKVM. Se não for corrigida, um atacante não autenticado pode redirecionar usuários desavisados para sites maliciosos, possibilitando o roubo de credenciais e outras compromissos mais amplos. A Cisco recomenda atualizações imediatas, pois não existem soluções alternativas. A vulnerabilidade é preocupante devido à sua ampla abrangência em diversos produtos da Cisco, incluindo servidores UCS B-Series e C-Series, além de sistemas HyperFlex e centros de gerenciamento de firewall. A empresa já disponibilizou versões corrigidas, e os administradores devem agir rapidamente para aplicar os patches, uma vez que a simplicidade do ataque, que depende de engenharia social, aumenta o risco de exploração. Embora não haja evidências de exploração ativa até o momento, a natureza crítica da falha exige atenção urgente das organizações.

A Cisco divulgou um aviso de segurança sobre múltiplas vulnerabilidades de média gravidade em seu software UCS Manager, identificadas como CVE-2025-20294 e CVE-2025-20295. Essas falhas afetam dispositivos que operam o UCS Manager em várias plataformas de Fabric Interconnect. Ambas as vulnerabilidades resultam de validação insuficiente de entradas em argumentos de comando, permitindo que um atacante com acesso administrativo realize injeções de comandos e execute atividades maliciosas no sistema operacional subjacente. A CVE-2025-20294, com uma pontuação CVSS de 6.5, impacta tanto a interface de linha de comando quanto a interface de gerenciamento baseada na web, possibilitando que um invasor autenticado execute comandos arbitrários com privilégios de root. A CVE-2025-20295, com pontuação CVSS de 6.0, permite que um atacante local leia, crie ou sobrescreva arquivos críticos do sistema. A Cisco já disponibilizou atualizações de software para corrigir as falhas e recomenda que os usuários atualizem imediatamente, pois não há soluções alternativas disponíveis. Embora as vulnerabilidades sejam classificadas como de média gravidade, sua exploração pode comprometer a infraestrutura crítica de data centers, tornando-se um alvo de alto valor para atacantes.

A Cisco divulgou uma vulnerabilidade de alto risco em seu software NX-OS, que afeta uma ampla gama de dispositivos utilizados em data centers. A falha permite que atacantes com credenciais válidas injetem comandos no sistema operacional subjacente, explorando a validação inadequada de entradas no interface de linha de comando (CLI). Embora os privilégios de root não sejam concedidos, um atacante pode executar instruções com os privilégios de uma conta não-root, possibilitando o acesso a arquivos e potencialmente facilitando movimentos laterais dentro da rede. A vulnerabilidade impacta dispositivos como os switches da série Nexus e MDS 9000, além de interconectores UCS. A Cisco já disponibilizou patches para corrigir a falha, e os administradores são aconselhados a aplicar as atualizações o mais rápido possível. Não há registros de exploração ativa até o momento, mas a possibilidade de uso indevido em ambientes com ameaças internas é significativa. A empresa reforça a importância de manter a segurança e a estabilidade operacional através da aplicação das correções recomendadas.

A Nagios Enterprises anunciou a atualização do Nagios XI para a versão 2024R2.1, que inclui melhorias significativas de segurança e novas funcionalidades de gerenciamento SNMP. Um dos principais destaques é a correção de uma vulnerabilidade de cross-site scripting (XSS) na funcionalidade Graph Explorer, que poderia permitir a injeção de scripts maliciosos através de parâmetros de URL. O pesquisador de segurança Marius Lihet foi reconhecido por divulgar a falha de forma responsável. Além disso, a atualização introduz novos níveis de licença, permitindo um controle mais granular sobre permissões de usuários e acesso a recursos em grandes implantações empresariais. A versão também removeu o suporte ao Ubuntu 20.04, exigindo que os administradores planejem migrações para manter a segurança da plataforma. A nova página de ‘SNMP Walk Jobs’ melhora a escalabilidade e confiabilidade em auditorias de dispositivos, enquanto a integração com o Nagios Mod-Gearman ajuda a manter o desempenho sob cargas pesadas. Com foco em segurança e flexibilidade, esta atualização é essencial para empresas que monitoram ambientes de rede complexos.

A Cloud Software Group emitiu um alerta de segurança urgente sobre três vulnerabilidades críticas que afetam os produtos NetScaler ADC e NetScaler Gateway. A mais grave, identificada como CVE-2025-7775, possui um escore CVSS de 9.2 e permite a execução remota de código ou negação de serviço devido a condições de overflow de memória. Explorações dessa vulnerabilidade já foram observadas em dispositivos não mitigados, tornando a aplicação de patches uma prioridade imediata. As outras duas vulnerabilidades, CVE-2025-7776 e CVE-2025-8424, também apresentam riscos significativos, com escores de 8.8 e 8.7, respectivamente. A primeira está relacionada a configurações do NetScaler Gateway que podem levar a negação de serviço, enquanto a segunda envolve uma falha de controle de acesso na interface de gerenciamento do NetScaler, permitindo acesso administrativo não autorizado. A empresa recomenda a atualização para versões corrigidas, destacando a importância de agir rapidamente para proteger a infraestrutura de rede e dados sensíveis das organizações.

Em 26 de agosto de 2025, o Google lançou uma atualização para o Chrome Desktop, corrigindo uma vulnerabilidade crítica identificada como CVE-2025-9478, que afeta a biblioteca gráfica ANGLE. Essa falha de uso após a liberação (use-after-free) pode permitir a execução remota de código malicioso através de comandos específicos enviados por uma página web comprometida. A atualização está sendo distribuída gradualmente para as versões do Chrome em Windows, Mac e Linux, e é recomendada a todos os usuários que mantenham seus navegadores atualizados. O Google agradeceu à equipe de pesquisa externa, Google Big Sleep, por relatar a vulnerabilidade de forma responsável. A empresa reforça a importância de atualizações frequentes para garantir a segurança dos usuários e prevenir a exploração de falhas antes que a maioria esteja protegida.

Pesquisadores de segurança da Zscaler ThreatLabs identificaram 77 aplicativos maliciosos na Google Play Store, que foram baixados mais de 19 milhões de vezes. A maioria desses aplicativos, cerca de 25%, estava associada ao malware Joker, que pode enviar mensagens de texto, capturar telas, fazer chamadas telefônicas e roubar informações sensíveis dos usuários. Além do Joker, variantes como Harly e o trojan bancário Anatsa também foram detectados, sendo que este último pode roubar credenciais de login de mais de 800 aplicativos bancários e de criptomoedas. Os aplicativos maliciosos, descritos como “maskware”, funcionam normalmente, mas em segundo plano realizam atividades prejudiciais. Para se proteger, os usuários devem baixar aplicativos apenas de fontes confiáveis, ativar o Play Protect, verificar as avaliações e permissões solicitadas pelos aplicativos antes da instalação. Essa situação evidencia que mesmo a Google Play Store, considerada uma fonte segura, não é imune a ameaças.

Pesquisadores da Trellix identificaram um novo ataque direcionado a usuários de Linux, que utiliza phishing por e-mail para disseminar malware. O ataque se destaca pelo uso de um arquivo RAR com um nome malicioso, que injeta comandos shell e arquivos bash codificados em Base64. O malware, denominado VShell, cria um backdoor que permite o controle remoto do sistema infectado. O ataque explora uma vulnerabilidade comum em scripts shell, onde os nomes de arquivos não são devidamente verificados pelos antivírus, permitindo que o malware passe despercebido. Os criminosos utilizam engenharia social, enviando e-mails que se disfarçam de pesquisas de produtos de beleza, oferecendo recompensas em dinheiro para atrair as vítimas a baixar o arquivo malicioso. Para se proteger, é recomendado desconfiar de recompensas financeiras em e-mails de remetentes desconhecidos e evitar baixar arquivos sem verificar sua origem e conteúdo.

O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) lançou a Publicação Especial NIST 800-232, que padroniza a família de algoritmos criptográficos Ascon, desenvolvidos para ambientes com recursos limitados, como dispositivos da Internet das Coisas (IoT). Esta iniciativa, que começou em 2015, culminou em um processo rigoroso de avaliação que selecionou o Ascon em fevereiro de 2023. Os algoritmos Ascon são projetados para atender às necessidades de segurança crítica em dispositivos IoT, onde padrões tradicionais, como AES-GCM e SHA-2, podem ser excessivamente pesados.

A Apple lançou um patch de segurança para corrigir uma falha de zero-day identificada como CVE-2025-43300, que afeta dispositivos com iOS e iPadOS. Essa vulnerabilidade, que permite a execução remota de código, foi explorada em ataques sofisticados direcionados a indivíduos específicos. O problema reside em um erro de escrita fora dos limites no framework ImageIO, que gerencia arquivos de imagem. A falha possibilita que imagens maliciosas enviadas por e-mail ou mensagens causem corrupção de memória, levando a possíveis crashes ou execução de malware. A Apple implementou melhorias nos checagens de limites nas versões iOS 18.6.2 e iPadOS 18.6.2, entre outras atualizações. É importante que os usuários atualizem seus dispositivos imediatamente, pois há evidências de que a vulnerabilidade está sendo explorada ativamente. A falha afeta uma ampla gama de dispositivos, incluindo iPhones a partir do modelo XS e diversos modelos de iPads. Este é o sexto zero-day corrigido pela Apple em 2025, destacando a necessidade de vigilância constante em relação à segurança dos dispositivos.

A Mozilla lançou a versão 142 do Firefox, que corrige nove vulnerabilidades de segurança, incluindo falhas de alta gravidade que podem permitir a execução remota de código. O aviso de segurança, divulgado em 19 de agosto de 2025, destaca problemas que vão desde corrupção de memória até bypass de políticas de mesma origem, que podem comprometer dados do usuário e a segurança do sistema.

A vulnerabilidade mais crítica, identificada como CVE-2025-9179, envolve uma falha de escape de sandbox no componente Audio/Video GMP (Gecko Media Plugin), permitindo que atacantes realizem corrupção de memória em um processo que lida com conteúdo de mídia criptografada. Outra falha significativa, CVE-2025-9180, permite o bypass da política de mesma origem no componente Graphics Canvas2D, o que pode facilitar ataques cross-site e acesso não autorizado a dados.

O Google lançou uma atualização de segurança crítica para o navegador Chrome, corrigindo uma vulnerabilidade de alta severidade no motor JavaScript V8. Essa falha, identificada como CVE-2025-9132, foi descoberta pelo sistema de testes automatizados de segurança da empresa, o Big Sleep, em 4 de agosto de 2025. A vulnerabilidade permite que atacantes executem código arbitrário por meio de gravações de memória fora dos limites alocados, o que pode resultar em corrupção de memória e comprometimento total do sistema. A atualização, versão 139.0.7258.138/.139, foi disponibilizada em 19 de agosto de 2025 para plataformas Windows, Mac e Linux. O Google adotou uma abordagem de distribuição gradual para a atualização, permitindo monitorar possíveis problemas de compatibilidade. É crucial que usuários e administradores de sistemas implementem essa correção imediatamente, dado o risco significativo que essa vulnerabilidade representa para a segurança e integridade dos dados dos usuários. O Google também restringiu informações detalhadas sobre a vulnerabilidade até que a maioria dos usuários tenha recebido a atualização, seguindo práticas de divulgação responsável.

Um estudo abrangente revelou vulnerabilidades alarmantes em aplicativos de VPN populares, indicando que provedores aparentemente distintos compartilham não apenas a mesma propriedade, mas também falhas de segurança que comprometem a privacidade dos usuários. A pesquisa identificou três famílias de provedores de VPN com mais de 700 milhões de downloads na Google Play Store, todas apresentando vulnerabilidades críticas que permitem a descriptografia do tráfego dos usuários. Entre as descobertas mais preocupantes estão senhas hard-coded do Shadowsocks, que estão embutidas diretamente no código dos aplicativos. Isso permite que atacantes acessem comunicações que deveriam ser protegidas. Além disso, a pesquisa revelou que provedores como TurboVPN e VPN Monster compartilham infraestrutura de servidor e credenciais criptográficas, evidenciando conexões ocultas entre eles. As falhas incluem a coleta não autorizada de dados de localização e a utilização de implementações de criptografia fracas. Essas descobertas ressaltam a importância da transparência na propriedade do ecossistema de VPN e como práticas comerciais enganosas podem estar ligadas a implementações de segurança comprometidas.

A Cisco identificou uma vulnerabilidade crítica, classificada como 10/10, em seu produto Secure Firewall Management Center (FMC). Essa falha, localizada no subsistema RADIUS, pode permitir que um atacante remoto não autenticado injete comandos de shell arbitrários, comprometendo a segurança do sistema. O RADIUS é um protocolo utilizado para autenticar e autorizar administradores e usuários de VPN, e a exploração da falha requer que o FMC esteja configurado para autenticação RADIUS. Essa configuração é comum em redes empresariais e governamentais, aumentando o risco de ataques. A Cisco já disponibilizou um patch para corrigir a vulnerabilidade e recomenda que os usuários que não puderem aplicar a atualização desativem a autenticação RADIUS, optando por métodos alternativos, como contas de usuário locais ou LDAP. Embora não haja evidências de exploração ativa da falha até o momento, a empresa alerta que a superfície de ataque é significativa, dada a popularidade do FMC em ambientes críticos.

A crescente variedade de golpes online exige atenção redobrada dos internautas para proteger seus dados pessoais e financeiros. Entre os principais tipos de fraudes estão o falso suporte ao cliente, onde golpistas se passam por empresas conhecidas para obter informações sensíveis, e o malvertising, que utiliza anúncios infectados para instalar softwares maliciosos nos dispositivos dos usuários. Também são comuns os sites falsos de viagens que oferecem promoções inexistentes e mensagens enganosas sobre rastreamento de pacotes ou cobranças de pedágio, que geralmente solicitam cliques em links ou pagamentos para liberar entregas ou regularizar débitos. Para evitar prejuízos, adotar uma postura cética é fundamental. Desconfie de contatos inesperados por telefone, e-mail ou mensagens, e nunca clique em links duvidosos ou forneça dados pessoais sem antes confirmar a identidade do remetente através dos canais oficiais da empresa. Ao navegar na internet, é crucial verificar se o site é seguro, certificando-se de que o endereço comece com ‘https’. No caso de cobranças, como taxas de pedágio ou entrega, é recomendado entrar em contato com a empresa responsável por meio de canais oficiais para confirmar a veracidade da solicitação. Esteja sempre alerta e bem informado para se proteger das fraudes digitais em constante evolução.