6 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a use-after-free.
Google corrige vulnerabilidade zero-day (CVE-2026-2441) no Chrome que está sendo explorada ativamente. Falha use-after-free no CSS recebe CVSS 8.8 e afeta versões anteriores ao Chrome 145. Primeiro zero-day do navegador em 2026.
CVE-2025-48769 é um use‑after‑free em fs/vfs/fs_rename do Apache NuttX que pode causar crashes e operações indesejadas no sistema de arquivos. Afeta versões 7.20–12.10.0; a correção está disponível na 12.11.0. Não há relatos públicos de exploração ativa.
Microsoft lançou patches para CVE‑2025‑29970, um use‑after‑free em bfs.sys (Brokering File System) que possibilita escalonamento local de privilégios em sistemas Windows com sandboxes (AppContainer/AppSilo). A exploração exige acesso com token AppSilo e ciclos intensos de IOCTL; a correção separa a desalocação em função dedicada.
Foi divulgada uma PoC para CVE‑2025‑38352, uma condição de corrida em handle_posix_cpu_timers() do kernel Linux que possibilita use‑after‑free e escalonamento local de privilégios. A falha afeta builds como Linux LTS 6.12.33 e kernels 32‑bit (incluindo Android 32‑bit); patches upstream já foram liberados e administradores devem aplicar atualizações imediatamente.
CISA alerta para CVE‑2025‑62221, um use‑after‑free no Windows Cloud Files Mini Filter Driver que permite elevação local de privilégios. A vulnerabilidade foi adicionada ao catálogo KEV com prazo de remediação até 30/12/2025; a orientação é aplicar mitigação e patch imediatos, ou retirar sistemas afetados do uso.
Microsoft lançou correção para a vulnerabilidade CVE-2025-62562, um use-after-free em Outlook que permite execução de código localmente quando usuário responde a e‑mails maliciosos. Atualizações estão disponíveis para a maioria das edições; macOS LTSC aguarda release.