Duas novas vulnerabilidades divulgadas pela VulDB chamam a atenção de quem mantém servidores, appliances e sistemas embarcados: uma envolve criptografia em uma biblioteca ligada a TPM e outra atinge um componente usado para dados de GPS e tempo. Mesmo sem “ataques prontos” conhecidos, vale agir cedo para evitar surpresas.
O que aconteceu com a libtpms (CVE-2026-21444)
A falha foi registrada na libtpms até a versão 0.10.1 e se relaciona a um uso de criptografia considerado arriscado quando combinada com o OpenSSL 3.x. Na prática, isso pode significar que dados que deveriam estar bem protegidos podem não receber o nível de segurança esperado, dependendo de como o sistema usa a biblioteca.
O ponto positivo: o problema é limitado a execução local, ou seja, normalmente exige acesso ao próprio equipamento. Ainda assim, esse cenário é relevante em servidores com múltiplos usuários, ambientes de desenvolvimento, acesso remoto mal administrado ou máquinas comprometidas por outro motivo.
O que aconteceu com o gpsd do ntpsec (CVE-2025-67268)
A segunda vulnerabilidade afeta o gpsd do ntpsec em versões anteriores à 3.27.1. Ela permite uma escrita fora do limite em uma rotina relacionada a um driver específico. Em termos simples, o software pode gravar dados “no lugar errado” da memória, abrindo espaço para travamentos e, em alguns casos, efeitos mais graves.
A exploração depende de acesso pela rede local, o que costuma ocorrer em ambientes industriais, laboratórios, redes internas de empresas e integrações com equipamentos que fornecem dados NMEA2000.
Dica de prevenção
Atualize a libtpms para uma versão corrigida e leve o gpsd/ntpsec para 3.27.1 ou superior. Além disso, restrinja acessos locais e à rede interna com senhas fortes, segmentação e revisão de permissões.
No geral, essas correções são rápidas e reduzem risco antes que o problema vire incidente. Para acelerar sua priorização e fortalecer a segurança, conheça os serviços da LC SEC: Pentest, Threat Intelligence com IA, Auditoria Interna, Conscientização, Plano Diretor de Segurança e SGSI (políticas/processos/procedimentos). lcsec.io
Fontes
Compartilhe nas redes sociais:
