Novas falhas em libtpms e gpsd: veja como reduzir riscos agora

Duas vulnerabilidades recém-divulgadas chamam a atenção de quem administra servidores, dispositivos embarcados e sistemas que dependem de criptografia e sincronização de tempo. Mesmo sem “ataque pronto” circulando publicamente, falhas desse tipo costumam ser exploradas quando ambientes ficam desatualizados ou mal configurados. Por isso, entender o impacto e agir rápido faz diferença.

O que foi identificado no libtpms (CVE-2026-21444)

O libtpms é uma biblioteca usada em cenários que simulam ou implementam funções de TPM (um componente ligado a proteção de chaves e confiança do sistema). A vulnerabilidade reportada envolve o uso do OpenSSL 3.x e pode levar a um método de criptografia considerado arriscado. Na prática, isso pode enfraquecer proteções que dependem de criptografia, aumentando a chance de exposição de dados ou de confiança indevida em operações que deveriam ser mais seguras.

Segundo a fonte, o ataque é local (exige acesso ao sistema), e não há exploração pública conhecida. Ainda assim, ambientes compartilhados, acessos administrativos amplos e máquinas com múltiplos usuários aumentam a relevância desse cenário.

O que foi identificado no ntpsec gpsd (CVE-2025-67268)

No caso do ntpsec gpsd, a falha é classificada como crítica e está relacionada a uma escrita fora do limite em um componente de driver. De forma simples, isso pode permitir travamentos e, em algumas situações, comportamentos inesperados do serviço. A ativação do problema depende de tráfego dentro da rede local, o que reforça a importância de segmentação e controle de acesso em redes internas.

O que fazer agora

A recomendação principal é atualizar os componentes afetados (libtpms até 0.10.1 e versões do gpsd anteriores à correção indicada). Também vale revisar onde esses softwares estão instalados: servidores, gateways, dispositivos IoT/embarcados e ambientes de laboratório.

Dica de prevenção

Mantenha um inventário simples do que está em uso (software e versão) e defina uma rotina de atualização com testes rápidos antes de levar para produção. Em redes internas, limite quais máquinas podem conversar com serviços sensíveis.

Em resumo, as duas falhas reforçam um ponto básico: atualização e controle de acesso reduzem muito o risco, mesmo quando não há exploração pública. Para acelerar esse processo com segurança, conheça os serviços da LC SEC: Pentest, Threat Intelligence com IA, Auditoria Interna, Conscientização, Plano Diretor de Segurança e SGSI (políticas/processos/procedimentos). Acesse lcsec.io.

Fontes

• https://vuldb.com/?id.339428
• https://vuldb.com/?id.339426