-
Trail of Bits
30/01/2026 09:00
A Trail of Bits realmente está mostrando como se faz no mundo open-source. Com mais de 375 pull requests e uma abordagem que prioriza "compartilhar o que outros podem usar", eles não estão apenas jogando código para a galera, mas estão focando em tornar o ecossistema mais seguro. É sempre mais fácil forkar e fazer um remendo, mas a coragem de contribuir upstream, como no caso do Sigstore e do Rust LINQ, é digno de um troféu da categoria ‘Dev Hero’. Isso sim é trabalho em equipe e visão a longo prazo, mostrando que ninguém precisa reinventar a roda – ou o log de transparência – toda vez que um bug aparece.
-
Google Project Zero
Dillon Franke, Google Information Security Engineering, 20% time on Project Zero
30/01/2026 08:00
No segundo capítulo dessa saga de segurança no macOS, o autor revela como transformar uma vulnerabilidade de confusão de tipo em um exploit funcional. A técnica de fuzzing baseada em conhecimento se mostra como um verdadeiro "jogo de xadrez" contra bugs, onde cada movimento precisa ser calculado. O artigo destaca como, mesmo em meio a becos sem saída e desafios, a criatividade é a chave para desvendar o potencial dos crashes. Vale a pena acompanhar essa jornada para entender melhor como funcionam os bastidores da segurança no CoreAudio.
-
Embedded Artistry
Phillip Johnston
29/01/2026 14:00
O suporte a commits assinados no Git 2.52 é uma jogada interessante, especialmente considerando que a segurança e a integridade do código são cada vez mais cruciais. Como o autor menciona, a "degradação de bits" é uma realidade que ninguém quer encarar, e permitir que códigos sejam assinados pode reduzir bastante as surpresas desagradáveis. É como adicionar um selo de autenticidade ao seu código, algo que todo desenvolvedor gostaria de ver. Se você está em um fluxo de trabalho de monorepo, essa atualização pode fazer uma diferença significativa.
-
Trail of Bits
29/01/2026 09:00
O Sigstore está enfrentando o curioso dilema de como assinar software em um mundo onde as assinaturas podem se tornar obsoletas mais rápido do que você consegue dizer 'ECDSA'. Em vez de se reinventar a cada nova ameaça – como se fosse um dev que esqueceu de atualizar a biblioteca de segurança – a equipe se manteve rígida, focando em algoritmos seguros. Agora, com novas colaborações, eles estão mostrando que é possível ser flexível sem abrir mão da segurança. O que nos leva a refletir: estamos prontos para lidar com o futuro quântico?
-
Google Project Zero
James Forshaw
26/01/2026 08:00
O novo recurso de Proteção de Administrador no Windows 11, 25H2, parece promissor, mas como toda nova funcionalidade, sempre há aquela brecha que um verdadeiro dev vai encontrar. O artigo menciona que 'um usuário local pode acessar privilégios de administrador apenas quando necessário' — isso soa como um convite para quem tem um QI mais alto que a média. E é engraçado ver que, mesmo antes do lançamento oficial, já havia nove vulnerabilidades que precisaram ser corrigidas. Em resumo, é uma dança de gato e rato com a segurança, onde os devs são os ratos mais astutos. Vamos ver como a Microsoft lidará com isso no futuro.
-
GitHub Engineering
Thomas Kjær Aabo
15/01/2026 17:54
O artigo traz à tona a importância de manter as mitigações atualizadas com base no feedback dos usuários. Como diria um dev, é como limpar o cache: você pode se sentir tentado a ignorar, mas a vida útil do sistema depende disso. A combinação de observabilidade e gestão do ciclo de vida é fundamental, especialmente quando estamos lidando com defesas que parecem mais uma biblioteca de legado do que um sistema eficiente.
-
Google Project Zero
Natalie Silvanovich
14/01/2026 18:01
Esse blog é um verdadeiro 'bug hunt' no ecossistema Android, evidenciando como "a superfície de ataque de áudio do Dolby UDC" está tornando nossos dispositivos mais vulneráveis. A transcrição automática de mensagens de áudio no Google Messages pode parecer uma inteligência artificial legal, mas aqui está o truque: pode se tornar uma porta de entrada para exploits. Afinal, quem não gosta de um bom 0-click? Parece que o caminho à frente envolve mais do que só reparar falhas; é hora de repensar como lidamos com a segurança em nossas interações diárias.
-
Google Project Zero
Seth Jenkins
14/01/2026 18:00
Com a possibilidade de uma exploração RCE do Dolby Unified Decoder, o que mais poderia dar errado? O autor usou a ferramenta DriverCartographer e encontrou um driver interessante, o /dev/bigwave, acessível na SELinux context do mediacodec. Como o BigWave acelera tarefas de decodificação AV1, já dá pra imaginar que ele poderia esconder alguns segredos. E, claro, o autor encontrou três bugs, um tão poderoso que conseguiu escapar da sandbox. Já é hora de dar mais atenção às brechas de drivers em sistemas Android, porque nunca se sabe quando a próxima "onda" vai quebrar na sua rede.
-
Google Project Zero
Natalie Silvanovich
14/01/2026 17:59
É impressionante como a tecnologia evolui, mas ao mesmo tempo, o lado sombrio está sempre à espreita. Como destacado, "a superfície de ataque 0-click aumentou" com as novas funcionalidades de IA, permitindo que até os decodificadores de áudio se tornem alvos. Em vez de saborear um cafezinho enquanto escutamos mensagens, agora temos que ficar atentos a CVEs como CVE-2025-54957. É quase como se nossa privacidade estivesse se tornando um aplicativo em beta, sempre sujeito a bugs.
-
Trail of Bits
13/01/2026 09:00
Com a integração de agentes de IA nos navegadores, a segurança web parece estar passando novamente pelo tutorial do Mario, onde os vilões são as velhas vulnerabilidades que pensávamos ter superado. Os pesquisadores alertam que sem mecanismos de isolamento adequados, esses navegadores estão abertos a ataques semelhantes ao XSS e CSRF. Se os navegadores vão ser o novo super-herói da internet ou continuar sendo a linha de frente para vazamentos de dados, isso depende muito de como implementaremos o isolamento do tipo 'Same-Origin' para esses agentes. E sim, confiar cegamente nos navegadores pode ser tão arriscado quanto deixar seu código aberto.
-
O conceito de colocar agentes de IA dentro de uma "caixa" é uma jogada inteligente. Como mencionado, "a maneira certa de controlar o que os agentes fazem é colocá-los em uma caixa". Isso oferece uma camada de segurança que garante que, mesmo com toda a flexibilidade e criatividade dos agentes, suas ações ainda sejam gerenciáveis. É como dar superpoderes a um super-herói, mas garantindo que ele não possa voar para fora do mapa do jogo. Com os agentes se comportando de forma tão imprevisível, essa abordagem parece não só sensata, mas essencial para a segurança.
-
Trail of Bits
31/12/2025 09:00
O go-panikint chega para dar um tapa na cara da indiferença do overflow em Go, transformando esses erros em pânicos explícitos. Ao contrário do Rust, que já puxa o freio no overflow, Go simplesmente ignora e ‘wrap around’, criando uma zona de conforto perigosa. Agora, com essa ferramenta, foi possível encontrar um bug ao vivo no SDK do Cosmos, mostrando que o fuzzing pode ser mais eficaz com o toque de pânico. É um aviso para os desenvolvedores: a segurança dos dados não deve ser uma questão de sorte.
-
Trail of Bits
19/12/2025 09:00
Participar do AI Engineer Code Summit é como trocar ideias em uma sala cheia de nerds, onde a crença de que "nunca mais precisaremos olhar para o código" foi a estrela da festa. Olhando para a evolução das linguagens de programação, é fácil entender a resistência atual ao uso de LLMs; na verdade, é um pouco como se estivessem tentando substituir o Python pelo Notepad. A analogia entre compilers e LLMs é interessante, mas falta uma compreensão crucial: a determinismo. Como bem colocou o texto, se o código muda de semântica, não é uma nova feature; é um bug, e ninguém quer um bug tomando o lugar do seu código.
-
Google Project Zero
Natalie Silvanovich
16/12/2025 10:00
O Project Zero finalmente deu um upgrade no visual do seu blog, que estava mais para uma máquina DOS do que para um site moderno. “Nós ainda precisamos fazer muito trabalho para proteger os usuários contra zero days”, o que mostra que, por mais que a estética tenha mudado, o desafio continua. E, claro, revisitar aqueles posts antigos é como encontrar um código legado que vale a pena revisar: sempre há algo útil ali. De qualquer forma, é bom ver que eles estão dispostos a manter a comunidade atualizada sobre as ameaças.
-
Google Project Zero
Jann Horn
16/12/2025 09:00
Esse post é tipo um artefato arqueológico de 2017, quando a segurança em virtualização ainda estava se estruturalizando. O autor tenta resgatar o rascunho para falar sobre como escapar de uma VM para o processo de usuário do VirtualBox, mas, como quem tenta concatenar strings sem verificar nulos, ele acabou não finalizando. Fica o lembrete: as vulnerabilidades de segurança podem envelhecer, mas o conhecimento sobre elas continua relevante, assim como um código legado que ainda dá dor de cabeça.
-
Trail of Bits
16/12/2025 09:00
Você já pensou que os bugs de segurança em softwares seriam como vilões padrão de um filme de terror? Eles sempre voltam para atormentar a gente. O GWP-ASan parece ser a nova arma na luta contra essas vulnerabilidades, utilizando um método de amostragem para detectar falhas em tempo real com praticamente nenhum impacto de performance. Como o texto diz, ele é capaz de "capturar bugs relacionados ao heap" sem fazer você perder desempenho, o que é um baita avanço se você está desenvolvendo software crítico. Fica a dica: se você tem um projeto que requer mais segurança, talvez seja hora de testar essa ferramenta.
-
Trail of Bits
12/12/2025 09:00
Com a nova versão do rekor-monitor, parece que os desenvolvedores vão ter um assistente de segurança bem mais eficaz na hora de monitorar seus pacotes. Como mencionado, "logs de transparência como o Rekor fornecem uma função crítica de segurança: eles criam registros que são apenas adicionados e à prova de adulteração". É um pouco como ter uma cópia em papel da sua senha em vez de deixar tudo solto na nuvem. Isso, claro, não elimina a necessidade de confiar em práticas de segurança sólidas, mas certamente dá uma ajudinha na vigilância. Vamos ver se essa integração com o TUF melhora as coisas, porque sempre é bom ter mais armas contra os vilões digitais.
-
Trail of Bits
11/12/2025 09:00
O mrva é uma ótima adição ao arsenal dos desenvolvedores que preferem um ambiente de terminal em vez de depender do VS Code. Como mencionado, ele permite "executar consultas em milhares de projetos usando bancos de dados pré-construídos", o que é um verdadeiro salva-vidas para encontrar bugs de segurança de forma mais eficiente. A flexibilidade para redirecionar os resultados via stdout é outra sacada inteligente, permitindo que devs personalizem seus workflows como bem entenderem, desde que a linha de comando não saia do controle.
-
Trail of Bits
02/12/2025 09:00
A Trail of Bits trouxe uma adição bem-vinda para o LLVM com o suporte a código em tempo constante, uma verdadeira salvaguarda contra os ataques de tempo relacionados a ramificações. Como eles disseram, "os desenvolvedores terão garantias em nível de compilador de que suas implementações cryptográficas permanecem seguras". Isso é especialmente importante, visto que compilers tendem a otimizar tudo, até mesmo o que não deve ser tocado. Agora, com a nova família de intrínsecos __builtin_ct_select, a esperança é que os algoritmos criptográficos possam correr como se estivessem em uma sala isolada, longe de olhares curiosos da CPU. No fim, quem diria que as boas práticas de programação agora têm um novo aliado no nível de compilação?
-
Trail of Bits
18/11/2025 09:00
Nada como encontrar falhas em uma biblioteca que está sendo baixada mais de 10 milhões de vezes por semana, não é mesmo? A biblioteca elliptic, usada por quase 3.000 projetos, apresenta vulnerabilidades que podem permitir a falsificação de assinaturas. Aparentemente, o que faltou aqui foi uma verificação de limites – algo que faria até o mais novato dos programadores levantar a sobrancelha. E o que mais impressiona é que uma dessas falhas ainda não foi corrigida, mesmo após 90 dias de divulgação. O jogo está on, e a segurança dos dados não pode se dar ao luxo de ignorar essas falhas.