Radar do tema
O dia foi marcado por uma enxurrada de correções de vulnerabilidades críticas, com Drupal corrigindo uma falha já explorada ativamente e o Linux revelando...
O dia foi marcado por uma enxurrada de correções de vulnerabilidades críticas, com Drupal corrigindo uma falha já explorada ativamente e o Linux revelando um defeito de nove anos que concede controle total de sistemas...
A Drupal corrigiu uma vulnerabilidade crítica na API do sistema (CVE-2026-9082) e alertou que a falha já está sendo explorada ativamente por atacantes. A falha permite acesso não autenticado e exige atualização imediata por parte das organizações que utilizam a plataforma.
Abrir fonteUma vulnerabilidade presente no kernel do Linux desde 2016 permite que usuários locais executem comandos como root em distribuições como Debian, Fedora e Ubuntu. A falha de elevação de privilégios representa risco significativo para servidores brasileiros que compartilham acesso.
Abrir fonteA Microsoft emitiu alerta sobre nova vulnerabilidade zero-day no Exchange Server que já está sendo explorada em ataques. A empresa recomenda adoção imediata de medidas de mitigação enquanto a correção definitiva não é disponibilizada.
Abrir fonteA Ubiquiti corrigiu três vulnerabilidades críticas (CVE-2026-34908, CVE-2026-34909 e CVE-2026-34910) que permitiam alterações não autorizadas, traversal de caminhos e injeção de comandos. Roteadores e equipamentos UniFi amplamente usados no Brasil precisam de atualização urgente.
Abrir fontePesquisadores demonstraram que agentes de IA conseguem encontrar vulnerabilidades reais em plugins WordPress em escala, barateando o mercado de zero-days. Um pipeline construído em três dias mostrou que falhas já são vendidas por apenas US$ 20 na dark web.
Abrir fonteA Keepnet contribuiu com dados de simulação de phishing por voz e SMS para a edição 2026 do relatório Verizon DBIR. A inclusão reforça a tendência de ataques que ultrapassam filtros de e-mail tradicionais e atingem funcionários por canais alternativos.
Abrir fonteO FBI publicou alerta sobre o Kali365, um serviço baseado no Telegram que permite a criminosos capturar tokens OAuth legítimos e acessar contas do Microsoft 365 sem senhas. O phishing-as-a-service opera desde abril e representa ameaça direta a empresas brasileiras.
Abrir fonteO Google divulgou acidentalmente código de exploração para uma vulnerabilidade ainda sem correção no Chromium, base do Chrome, Edge e Opera. A falha permite execução de JavaScript persistente, transformando navegadores em zumbis sob controle de atacantes.
Abrir fonteGrupos de hackers estão abusando de redes de telecomunicações e provedores de hospedagem do Oriente Médio para operar infraestrutura C2 em larga escala. A tática dificulta rastreamento e bloqueio por parte de equipes de segurança.
Abrir fonteO FBI emitiu um alerta sobre o Kali365, um kit de fraude como serviço (PaaS) voltado para cibercriminosos. A ferramenta permite burlar a autenticação multifator (MFA) e sequestrar contas corporativas do Microsoft 365 sem a necessidade de senhas. A ameaça destaca a sofisticação crescente dos ataques de phishing no mercado de acessos ilegais.
Abrir fonteA decisão do Google de liberar o código de prova de conceito (PoC) para uma vulnerabilidade ainda sem correção no Chromium acendeu um alerta na comunidade de segurança. Especialistas temem que a publicação antecipada ajude criminosos a desenvolver ataques antes que os usuários apliquem uma atualização. A medida reacendeu o debate sobre os prazos ideais de divulgação de falhas críticas em navegadores.
Abrir fonteAtive a curadoria gratuita por email ou no seu grupo de WhatsApp.
Outros temas