Últimas notícias de cibersegurança

Falha crítica no telnetd do GNU InetUtils permite root sem autenticação

Uma vulnerabilidade no telnetd do GNU InetUtils permite bypass de autenticação remoto usando a variável USER com "-f root", concedendo acesso root sem autenticação. Versões 1.9.3 até 2.7 estão vulneráveis; mantenedores recomendam desabilitar telnetd, restringir acesso ou aplicar patches.

21/01/2026 06:02 Riscos e Ameaças

Chrome 144 corrige falha grave no motor V8 (CVE-2026-1220)

Google publicou o update Chrome 144 (builds 144.0.7559.96/.97) que corrige CVE-2026-1220, uma condição de corrida no motor JavaScript V8 capaz de causar corrupção de memória e possível execução arbitrária. Detalhes técnicos completos foram retidos enquanto o rollout ocorre; administradores devem priorizar a atualização.

21/01/2026 06:01 Riscos e Ameaças

CISA divulga análise do backdoor BRICKSTORM para vSphere

CISA publicou análise do BRICKSTORM, backdoor ligado a operações patrocinadas por Estado que mira VMware vSphere (vCenter/ESXi). Relatório detalha persistência, comunicação via DoH e WebSocket, 11 amostras (Go e Rust) e entrega seis regras YARA e uma Sigma para detecção; recomenda upgrades e segmentação.

21/01/2026 05:04 Riscos e Ameaças

Falha de arquitetura no Azure Private Endpoint pode causar DoS

Pesquisadores da Palo Alto (Unit42) descrevem limitação no Azure Private Endpoint/Private Link que pode causar falhas de resolução DNS e DoS a storage accounts — afetando estimativa >5% de contas. Microsoft reconhece a limitação e propõe mitigações parciais: fallback para internet ou registro DNS manual.

21/01/2026 05:04 Cloud

Falha crítica em proxy do Oracle WebLogic (CVE-2026-21962)

CVE‑2026‑21962: vulnerabilidade crítica no WebLogic Server Proxy Plug‑in para Oracle HTTP Server e IIS com CVSS 10.0 permite execução remota sem autenticação e mudança de escopo para backend. Oracle publicou patches no CPU; mitigação temporária inclui restrição de acesso por IP.

21/01/2026 05:03 Riscos e Ameaças

LastPass alerta para phishing que mira senhas mestres

LastPass alerta para campanha de phishing ativa — surgida por volta de 19/01/2026 — que usa e‑mails de "manutenção" para convencer usuários a criar backups locais e revelar suas senhas mestres. Não há confirmação pública sobre número de vítimas; recomenda‑se não acatar comunicações não verificadas, habilitar MFA e revisar logs e procedimentos de resposta.

21/01/2026 05:02 Riscos e Ameaças

OpenAI ativa modelo no ChatGPT para estimar idade de usuários

OpenAI começou a implantar um modelo no ChatGPT para estimar a idade dos usuários e aplicar restrições de segurança voltadas a adolescentes, informa o BleepingComputer. A matéria confirma o rollout, mas não detalha dados usados, escopo regional, acurácia ou políticas de retenção — pontos críticos para avaliação de privacidade e conformidade.

20/01/2026 20:01 Tendências

Supremo dos EUA aceitará caso sobre mandados de geofence

O Supremo dos EUA aceitou analisar a constitucionalidade dos mandados 'geofence', que exigem que empresas entreguem dados de localização de celulares em áreas e períodos específicos. A reportagem não detalha o caso que chegou à Corte nem traz cronograma para julgamento.

20/01/2026 18:02 Tendências

Ataques de spam em massa exploram instâncias Zendesk

Uma campanha de spam em massa tem utilizado instâncias do Zendesk para distribuir mensagens maliciosas. O fornecedor afirma que não há indícios de violação ou vulnerabilidade no software e recomenda ignorar ou excluir e‑mails suspeitos; detalhes técnicos e escopo da operação não foram divulgados.

20/01/2026 18:01 Riscos e Ameaças

UE propõe saída gradual de fornecedores de alto risco de telecom

A União Europeia propôs medidas que tornam obrigatórias regras de cibersegurança para 5G e criam um mecanismo para a saída gradual de fornecedores considerados de alto risco. Observadores interpretam a iniciativa como direcionada a fornecedores chineses, mas a matéria não detalha critérios, prazos ou nomes de empresas afetadas.

20/01/2026 18:01 Riscos e Ameaças

Grupo Everest afirma ter exfiltrado 861 GB da McDonald’s Índia

O grupo Everest afirmou ter exfiltrado 861 GB de dados da McDonald’s Índia e publicou ameaça de divulgação. A empresa ainda não confirmou o incidente; sem verificação oficial, o escopo e a natureza dos dados permanecem incertos.

20/01/2026 16:03 Vazamento de dados

Gootloader ressurge com ZIPs malformados e alta evasão de deteção

Relatório descreve retorno do Gootloader com arquivos ZIP malformados, JScript de persistência e técnicas de 'hashbusting' que tornam a detecção por assinaturas difícil. O malware atua como initial access broker, abrindo caminho para campanhas de ransomware.

20/01/2026 16:03 Riscos e Ameaças

Falhas no framework Chainlit põem chatbots de IA em risco na nuvem

Relato do DarkReading aponta falhas no framework Chainlit que podem conceder poderes perigosos a atacantes em ambientes de nuvem. A cobertura via RSS é genérica e não lista CVEs, versões afetadas ou provas de exploração, exigindo acompanhamento técnico.

20/01/2026 16:02 Cloud

Comissão Europeia propõe lei para bloquear fornecedores de alto risco

A Comissão Europeia propôs legislação para remover fornecedores considerados de alto risco das redes de telecomunicações, buscando reduzir exposição a ataques estatais e cibercrime. A proposta é ampla, mas a cobertura ainda não detalha critérios, prazos ou impactos econômicos.

20/01/2026 16:01 Tendências

Estudo mostra que GPT‑5.2 gerou exploits «zero‑day» funcionais em testes

Um experimento mostrou que agentes baseados em GPT‑5.2 geraram mais de 40 exploits funcionais contra um bug no QuickJS em múltiplas configurações. Testes consumiram até 50 milhões de tokens e pouco mais de três horas no caso mais complexo, tornando a geração automatizada de exploits economicamente viável em escala.

20/01/2026 14:03 Tendências