257 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a security.
A University of Pennsylvania confirmou que documentos contendo informações pessoais foram roubados de seus servidores Oracle E‑Business Suite após um ataque detectado em agosto; a instituição confirmou a exfiltração, mas não detalha o volume ou tipos específicos de dados afetados.
CVE-2025-64775 é uma vulnerabilidade em Apache Struts que permite vazamento de arquivos no processamento multipart, possibilitando exaustão de disco e DoS. Versões afetadas incluem linhas 2.x (EOL), 6.0.0–6.7.0 e 7.0.0–7.0.3; o projeto recomenda atualização para Struts 6.8.0 ou 7.1.1+.
Pesquisadores relatam que o grupo ShadyPanda manteve uma campanha de sete anos que comprometeu 4,3 milhões de usuários por meio de extensões legítimas de Chrome e Edge — usando atualizações silenciosas para converter ferramentas confiáveis em backdoors e spyware; WeTab e Clean Master estão entre as extensões citadas.
Check Point Research reportou uma falha de command injection no Codex CLI que permitia executar comandos arbitrários a partir de configuração em repositórios; OpenAI corrigiu a falha em Codex CLI 0.23.0 — usuários devem atualizar e tratar configs .codex/.env como sensíveis.
Um homem de 44 anos foi condenado a sete anos e quatro meses por operar pontos de acesso Wi‑Fi 'evil twin' em aeroportos da Austrália, usados para roubar dados de viajantes. A reportagem cita o modus operandi geral, mas não detalha quantas vítimas foram identificadas nem as técnicas forenses utilizadas.
Entro Security relata que o worm Shai Hulud 2.0, detectado em 24/11/2025, comprometeu cerca de 1.195 organizações ao exfiltrar snapshots de memória double-base64-encoded durante pipelines CI/CD; tokens ativos (GitHub, AWS, Google Cloud) chegaram a permanecer válidos dias após a detecção — recomendam rotacionar identidades não-humanas e tratar runtimes como comprometidos.
A Microsoft atualizará a Content Security Policy do Microsoft Entra ID para bloquear scripts externos durante sign-ins em login.microsoftonline.com, permitindo apenas código de domínios Microsoft confiáveis; administradores devem testar fluxos e remover extensões que injetem scripts antes da aplicação global, prevista para outubro de 2026.
Microsoft anunciou atualização da Content Security Policy do Entra ID para bloquear scripts não autorizados na página de login (login.microsoftonline), prevista para entrar em vigor em cerca de um ano; detalhes técnicos completos não foram publicados nas matérias.
Atores por trás da operação ByteToBreach vendem e vazam dados sensíveis (manifests de passageiros, registros bancários, bases de saúde e arquivos governamentais) de organizações em vários países; KELA rastreou a infraestrutura e conexões do operador.
CVE-2025-66035 afeta o Angular HttpClient: o uso de URLs protocol‑relative (‘//’) fazia o framework anexar tokens XSRF a domínios externos, permitindo captura do token. CVSS 7.5; atualização para versões corrigidas é recomendada e o workaround é evitar URLs começando com “//”.