BolhaSec News #33 - 26/01/2025 a 01/02/2025

O que tem nessa edição?

O que essa edição contém? Além do tradicional formato com ~4 resumos das notícias de segurança mais interessantes da semana, adicionei a seção Dump com menções a notícias que achei interessantezinhas, mas não o suficiente para terem seus resumos na seção principal.

Ataque Clone2Leak pode vazar credenciais Git / DeepSeek / Facebook versus Linux / Primeiro Zero-Day da Apple de 2025

Ataque Clone2Leak pode vazar credenciais Git: O ataque Clone2Leak explora falhas de parsing de requisições de autenticação no Git para expor credenciais através de três vetores de ataque, "carriage return smuggling", "newline injection" e "logic flaws in credential retrieval". Os CVEs envolvidos tem criticidade entre 6.5 média e 8.5 alta. As falhas que tornam o ataque possível foram descobertas por um pesquisador japonês da Flatt Security e já receberam fixes na forma de updates no GitHub Desktop, Git Credential Manager, Git LFS e gh cli. Até o momento, não foram confirmadas explorações dessas falhas “no mundo real” +Info +Twitter

DeepSeek? Da última edição da newsletter pra cá, muita coisa mudou no mercado da IA com rápida ascensão e queda (literalmente) da API e chat oferecendo o modelo DeepSeek-R1 da chinesa DeepSeek. Após causar muitas notícias pelo mundo, o serviço passou a enfrentar diversos ataques DDOS que mantém o serviço degradado até o momento, segundo o próprio site de status da DeepSeek. Outro acontecimento de cibersegurança foi o report de um pesquisador que descobriu que a DeepSeek tinha esquecido um banco de dados aberto na internet vazando dados sensíveis ☠️⚰️. Após a vulnerabilidade ser resolvida, ele postou todo o processo de descoberta numa thread do Twitter. Por último, mas não menos importante, a Itália bloqueou o acesso ao DeepSeek no país porque a Autoridade Italiana de Proteção de Dados não ficou feliz com as alegações da DeepSeek de que ela não se enquadra na legislação da UE e as regulações não se aplicam. Se você leu a Política de Privacidade do serviço da DeepSeek, é bem óbvio que ela não adere a GDPR e provavelmente esse bloqueio vai se espalhar pela Europa. +Info +Twitter +Info2

Facebook versus Linux: Na sua nova fase, Markinho aproveitou pra proibir discussões sobre Linux no Facebook, banindo usuários e postagens que mencionassem tópicos, sites ou grupos relacionados a Linux. A justificativa foi que o tema está relacionado a “ameaça à segurança cibernética” 🤣. Um dos primeiros a perceber a nova política foi a DistroWatch que afirmou que os banimentos começaram em 19 de Janeiro. Ao tentar apelar contra o banimento, um representante do Facebook disse que os tópicos do Linux permaneceriam no filtro de segurança cibernética. O admin da DistroWatch posteriormente teve sua conta do Facebook bloqueada. Dia 28/01 a Meta disse à PCMag: "Essa imposição foi um erro e já foi consertada. Discussões sobre Linux são permitidas em nossos serviços”. A Meta não entrou em detalhes sobre o que causou o problema, mas sabe-se que ela vem reformulando partes da sua moderação de conteúdo pra implantar Notas da Comunidade, semelhantes ao Twitter +Info +Info2 +Info3 +Bsky

Apple corrigiu o primeiro Zero-Day de 2025: Para comemorar o início de 2025, a Apple já lançou um pacote de fixes para dezenas de vulnerabilidades mobile e desktop, incluindo um 0-day sendo ativamente explorado 👏. O 0-day (CVE-2025-24085, CVSS 7.8 alta) era uma vulnerabilidade “use after free“ que permitia a elevação de privilégios por aplicações maliciosas. E afetava apenas o visionOS, iOS, iPadOS, macOS Sequoia, watchOS e tvOS. E a Apple mandou avisar que está ciente de um relatório informando que esse problema pode ter sido explorado ativamente em versões do iOS anteriores ao iOS 17.2. O fix é atualizar os dispositivos para a última versão. Quem não atualizar corre risco de ataques como acesso não autorizado a dados, execução arbitrária de código e perdas financeiras. +Info +Info2

Dump

• Texas Governor Orders Ban on DeepSeek, RedNote for Government Devices: quanto tempo até essa moda se espalhar?

• Opengrep launched by Endor Labs to boost open-source SAST: mais um capítulo nas tretas no mundo open source vs licenciamentos

• NIST Drops Password Complexity, Mandatory Reset Rules: essa é velha, eu sei. Mas é importante lembrar.

• Trust No AI: Prompt Injection Along The CIA Security Triad: já que tá todo mundo gostando de ler paper nessa season, segue mais um interessante

BTW, se você quiser acompanhar as notícias em tempo real, agora temos um grupo no Telegram, perfil no BlueSky e no Threads, onde as notícias são postadas todos os dias. Links ⬇️

• Telegram #bolhasec news

• Bolhasec no Bluesky

• Bolhasec no Threads