imagem do post

CISA e NSA publicam orientações sobre desafios de IAM para desenvolvedores e fornecedores

A agência de segurança cibernética dos EUA CISA e a NSA publicaram novas orientações sobre a implementação do gerenciamento de identidade e acesso (IAM), com foco nos desafios que os desenvolvedores e fornecedores enfrentam.Lançada meio ano após orientação para administradores de IAM e destinada principalmente a grandes organizações (embora atenda também a pequenas empresas), a…

imagem do post

Novas vulnerabilidades do BMC da Supermicro podem expor muitos servidores a ataques remotos

A gigante de servidores e hardware de computador Supermicro lançou atualizações para solucionar múltiplas vulnerabilidades no firmware IPMI dos Baseboard Management Controllers (BMC).Os problemas (rastreados como CVE-2023-40284 a CVE-2023-40290) podem permitir que invasores remotos obtenham acesso root ao sistema BMC, empresa de segurança da cadeia de suprimentos de firmware Binarly, que identificou os bugs, explica.Um…

imagem do post

Atlassian envia patch urgente para Confluence Zero-Day explorado

A fabricante de software empresarial Atlassian chamou atenção imediata na quarta-feira para um grande defeito de segurança em seus produtos Confluence Data Center e Server e alertou que o problema já foi explorado como dia zero à solta.Um comunicado urgente da Atlassian confirma que “alguns clientes” foram atingidos por explorações direcionadas a uma falha explorável…

imagem do post

Apple alerta sobre kernel do iOS 17 recém-explorado Zero-Day

A luta de gato e rato da Apple com explorações de dia zero em sua principal plataforma iOS não mostra sinais de desaceleração.O fabricante de dispositivos de Cupertino lançou na quarta-feira um novo patch para cobrir algumas vulnerabilidades graves e alertou que um dos problemas já foi explorado como dia zero na natureza.Em um consultoria…

imagem do post

Vulnerabilidade grave de escalonamento de privilégios Glibc impacta as principais distribuições Linux

As principais distribuições do Linux, como Debian, Fedora e Ubuntu, são afetadas por uma vulnerabilidade da GNU C Library (glibc) que pode fornecer a um invasor privilégios completos de root.A biblioteca C presente no GNU e na maioria dos sistemas que executam o kernel Linux, glibc define chamadas de sistema e outras funcionalidades que um…

imagem do post

ZDI discute o primeiro Pwn2Own automotivo

A Zero Day Initiative (ZDI) sediará um novo Automotive Pwn2Own na Automotive World Conference em Tóquio, de 24 a 26 de janeiro de 2024.Algo novo era inevitável. Se não for tocado, qualquer coisa acabará ficando obsoleta; e prevenir é sempre mais fácil do que remediar. O setor automotivo também é provavelmente inevitável. A Trend Micro…

imagem do post

Synqly junta-se à corrida para corrigir segurança e integrações de produtos de infraestrutura

Synqly, uma startup do Vale do Silício com planos ambiciosos para corrigir a forma como os produtos de segurança e infraestrutura são integrados, anunciou sua estreia na terça-feira com uma aposta inicial de US$ 4 milhões em capital de risco.Synqly disse que a rodada inicial de US$ 4 milhões incluiu investimentos da SYN Ventures, Okta…

imagem do post

Falhas críticas do TorchServe podem expor a infraestrutura de IA de grandes empresas

Uma série de vulnerabilidades críticas que afetam uma ferramenta chamada TorchServe pode permitir que os agentes de ameaças assumam o controle total dos servidores que fazem parte do inteligência artificial (IA) infraestrutura de algumas das maiores empresas do mundo.As falhas foram descobertas pela Oligo, empresa especializada em segurança e observabilidade de aplicativos em tempo de…

imagem do post

Dezenas de pacotes NPM maliciosos roubam dados do usuário e do sistema

Os pesquisadores de segurança da Fortinet identificaram vários pacotes NPM maliciosos contendo scripts ofuscados projetados para coletar uma grande quantidade de informações dos sistemas das vítimas.Na segunda-feira, Fortinet avisou de 35 pacotes maliciosos no Registro NPM contendo scripts de instalação capazes de coletar dados do sistema e do usuário e exfiltrá-los por meio de um…

imagem do post

Número de ICS expostos à Internet cai abaixo de 100.000: relatório

O número de sistemas de controle industrial (ICS) expostos à Internet continuou a diminuir nos últimos anos, caindo para menos de 100.000 em junho de 2023, de acordo com um relatório da empresa de classificação de segurança cibernética Bitsight.Empresas e pesquisadores examinam regularmente a Internet em busca de ICS expostos e, na última década, relataram…