Threats
A OpenSSL corrigiu sete vulnerabilidades nas versões 3.x. Uma das falhas pode expor dados sensíveis e várias podem ser exploradas para provocar negação de serviço
09/04/2026
|
A OpenSSL lançou atualizações para corrigir sete vulnerabilidades, incluindo uma falha que pode permitir a exposição de dados sensíveis em memória. A maioria dos problemas identificados foi classificada com baixa severidade e pode ser explorada para causar condições de negação de serviço (DoS). A vulnerabilidade mais relevante é a CVE-2026-31790, classificada com severidade moderada. O problema afeta aplicações que usam RSASVE key encapsulation para estabelecer uma chave secreta de encriptação. Segundo o aviso dos programadores da OpenSSL, a biblioteca pode, em alguns casos, não verificar corretamente se a operação de encriptação foi concluída com sucesso. Ainda assim, pode devolver uma indicação de sucesso, o que expõe informação presente num buffer de memória não inicializado. De acordo com a equipa de desenvolvimento, esse buffer pode conter dados sensíveis resultantes de execuções anteriores do processo da aplicação, criando assim um risco de fuga de informação. A falha afeta as versões 3.6, 3.5, 3.4, 3.3 e 3.0 da OpenSSL. As versões 1.0.2 e 1.1.1 não são impactadas. As restantes seis vulnerabilidades foram classificadas com baixa severidade. A maioria pode ser usada para provocar falhas na aplicação e, consequentemente, interrupções de serviço. Em dois casos, existe em teoria a possibilidade de execução arbitrária de código, mas os cenários descritos parecem pouco prováveis: um dos problemas afeta uma configuração incomum da OpenSSL e o outro exige o envio de um certificado X.509 manipulado com 1 GB. A atualização surge depois de, em janeiro, a OpenSSL ter corrigido 12 vulnerabilidades, entre as quais uma falha de elevada severidade com potencial para execução remota de código. Ainda assim, vulnerabilidades críticas ou de elevada severidade têm sido menos frequentes no projeto. Em 2025, foi identificada apenas uma falha deste tipo. Para equipas de segurança e responsáveis por infraestruturas, a recomendação passa por validar a exposição das aplicações afetadas e acelerar a aplicação das novas versões, sobretudo em ambientes onde a biblioteca é usada em processos de troca de chaves e proteção de comunicações. |
Receba todas as novidades na sua caixa de correio!
NEWS
Empresa portuguesa identifica falha crítica no OpenClaw
ITS CONF
IT Security Summit Porto fecha programa e revela agenda completa
NEWS
C-Days 2026 regressa ao Porto em junho
EXPERT
Na cibersegurança, o exemplo também vem de cima
COMPLIANCE
NIS2: Licença para atuar
THREATS
Falha em plugin WordPress expõe 800 mil sites
THREATS
Ataques ClickFix visa Macs com páginas falsas da Cloudflare
THREATS
Fraude com deepfakes cresce e expõe falhas
THREATS
Citrix corrige falha crítica no NetScaler
THREATS
Google corrige falhas críticas em nova atualização do Chrome
