-
Trail of Bits
11/12/2025 09:00
O mrva é uma ótima adição ao arsenal dos desenvolvedores que preferem um ambiente de terminal em vez de depender do VS Code. Como mencionado, ele permite "executar consultas em milhares de projetos usando bancos de dados pré-construÃdos", o que é um verdadeiro salva-vidas para encontrar bugs de segurança de forma mais eficiente. A flexibilidade para redirecionar os resultados via stdout é outra sacada inteligente, permitindo que devs personalizem seus workflows como bem entenderem, desde que a linha de comando não saia do controle.
-
Trail of Bits
02/12/2025 09:00
A Trail of Bits trouxe uma adição bem-vinda para o LLVM com o suporte a código em tempo constante, uma verdadeira salvaguarda contra os ataques de tempo relacionados a ramificações. Como eles disseram, "os desenvolvedores terão garantias em nÃvel de compilador de que suas implementações cryptográficas permanecem seguras". Isso é especialmente importante, visto que compilers tendem a otimizar tudo, até mesmo o que não deve ser tocado. Agora, com a nova famÃlia de intrÃnsecos __builtin_ct_select, a esperança é que os algoritmos criptográficos possam correr como se estivessem em uma sala isolada, longe de olhares curiosos da CPU. No fim, quem diria que as boas práticas de programação agora têm um novo aliado no nÃvel de compilação?
-
Trail of Bits
18/11/2025 09:00
Nada como encontrar falhas em uma biblioteca que está sendo baixada mais de 10 milhões de vezes por semana, não é mesmo? A biblioteca elliptic, usada por quase 3.000 projetos, apresenta vulnerabilidades que podem permitir a falsificação de assinaturas. Aparentemente, o que faltou aqui foi uma verificação de limites – algo que faria até o mais novato dos programadores levantar a sobrancelha. E o que mais impressiona é que uma dessas falhas ainda não foi corrigida, mesmo após 90 dias de divulgação. O jogo está on, e a segurança dos dados não pode se dar ao luxo de ignorar essas falhas.
-
Trail of Bits
15/11/2025 09:00
O Slither-MCP chega para dar um up na análise de código em projetos Solidity. Como eles mesmo mencionam, a ferramenta "expõe a API de análise estática do Slither via ferramentas", eliminando aquelas soluções rudimentares que a maioria de nós já tentou usar e que só geram dor de cabeça. Agora, com uma simples chamada ao método certo, o LLM pode localizar o código fonte de uma função sem fazer malabarismos com grep ou chamadas excessivas a arquivos. Se você está no game de auditoria de contratos inteligentes, essa é uma boa adição ao seu arsenal.
-
Trail of Bits
14/11/2025 09:00
O time de criptografia da Trail of Bits trouxe à tona implementações em puro Go do ML-DSA e SLH-DSA, dois algoritmos de assinatura pós-quântica. A parte mais interessante é garantir que a implementação do ML-DSA seja de tempo constante, evitando ataques, como o KyberSlash, que usaram divisão como ponto fraco. Em um mundo onde a segurança é essencial, esses cuidados são como não deixar o gato mexer nas linhas de código da aplicação.
-
Trail of Bits
13/11/2025 09:00
Checksec Anywhere chega para dar um tapa na cara da fragmentação no mundo da análise de binários. O fato de analisá-los diretamente no navegador, sem uploads e sem dependências cabeludas, é como uma versão tech de um serviço de streaming: prático e eficiente. Além disso, "todos os processamentos acontecem localmente"—ponto extra para a privacidade. Com suporte para ELF, PE e Mach-O, finalmente não vai ser preciso intercalar um monte de ferramentas para cada formato. Aquele sonho de um único lugar para ver os resultados é real, e ainda por cima é rápido como um flash.
-
Trail of Bits
07/11/2025 20:00
O aviso aqui é claro: uma falha de arredondamento que estava escondida no código há anos trouxe problemas sérios para o Balancer. É mais um lembrete de que, no mundo DeFi, a matemática pode ser tão traiçoeira quanto um bug em um código JavaScript mal escrito. Como alertado, "rounding must favor the protocol" não é mais suficiente; precisamos de testes mais abrangentes, pois como hackers tornaram-se mais astutos, nossa defesa também precisa evoluir. Para quem estava pensando em auditar contratos inteligentes, esse caso mostra que uma boa auditoria é como um patch de segurança: melhor prevenir do que remediar.
-
Trail of Bits
31/10/2025 08:00
Sabia que passaportes modernos são tipo dispositivos embutidos com filesystem completo e protocolos de criptografia? Esses documentos não só liberam você da conversa no controle de fronteira, como protegem seus dados de espionagem e falsificação. O artigo menciona que, "ele suporta protocolos legados inseguros", o que é uma bela armadilha para quem pensa que tecnologia e segurança andam sempre de mãos dadas. A parte mais interessante é o potencial para aplicações como provas de identidade de conhecimento zero. Vamos ver como isso se desenvolve na prática.
-
Trail of Bits
30/10/2025 08:00
A Trail of Bits acaba de nos lembrar que nem todo super-herói tem a capa justa; no caso, o LUKS2 revela vulnerabilidades que permitem que pessoas mal-intencionadas acessem e modifiquem dados confidenciais. Com os CVEs 2025-59054 e 2025-58356, a proteção dos dados em ambientes de computação confidenciais pode ser mais ilusória do que o manto do Superman. Importante que quem usa essas VMs atualize para as versões mais recentes para evitar problemas. Afinal, em segurança, quem não atualiza pode acabar sendo o alvo de algum vilão de plantão.