BolhaSec News #10 - 04/08/2024 a 10/07/08

Múltiplos RCEs no Microsoft Copilot: no evento de cibersegurança BlackHat USA 2024 (um dos maiores e mais reconhecidos do mundo), pesquisadores apresentaram 3 técnicas diferentes para alcançar Execução Remota de Código (RCE) através do Copilot, além de técnicas de Post-compromise, que incluem bypass de DLP 🔥 +Twitter +Info

RCE no Jenkins: Jenkins é basicamente um servidor de CI/CD de código aberto e largamente usado por aí. Pesquisadores descobriram a vulnerabilidade crítica CVE-2024-43044 que permite a leitura arbitrária de arquivos e posteriormente a Execução Remota de Código (RCE). O problema acontece devido ao Jenkins usar uma biblioteca que permite o carregamento remoto de classes Java. +Info

Black Hat e DEF CON: essa semana aconteceu dois dos eventos de cibersegurança mais importantes e com mais novidades do mundo. Fica a sugestão então da leitura dos blogs/slides (enquanto não saem os vídeos das palestras) das 3 pesquisas da PortSwigger +Twitter +Info

• Vulnerabilidade de 18 anos, apelidade de "0.0.0.0 Day", sendo explorada no Firefox e Chrome +Info