Exim publicou uma atualização crítica que corrige uma vulnerabilidade de uso após liberação de memória (use-after-free) na análise do corpo de mensagens BDAT quando a pilha TLS está implementada com GnuTLS. Identificada como CVE-2026-45185 (Dead.Letter), a falha permite que um cliente que possa estabelecer uma conexão TLS provoque corrupção do heap e, potencialmente, execução de código remoto sem autenticação, aproveitando a extensão CHUNKING (BDAT) do protocolo SMTP.
Do ponto de vista técnico, o erro aparece durante a sequência de encerramento TLS: se um cliente envia um alert de close_notify antes de completar a transferência BDAT e depois injeta um byte final em texto claro na mesma conexão TCP, Exim pode acabar escrevendo em um búfer já libertado. Esse único byte descreve metadados do atribuídor de memória, o que abre o caminho a técnicas de exploração que escalam a corrupção em primitivas úteis para um atacante. A descoberta foi relatada por Frederico Kirschbaum de XBOW em 1 de maio de 2026 e a correção foi incluída na versão 4.99.3.
A vulnerabilidade afeta as séries de Exim desde a 4.97 até a 4.99.2, mas com uma exceção importante: apenas impacta os binários compilados com o UTILIZA_GNUTLS=yes. Os destacamentos que usam outras bibliotecas TLS como OpenSSL não são afetados por esta falha em particular. Isto obriga os administradores a verificar não só a versão do pacote, mas também como foi compilado o seu Exim.
A exploração da falha não requer privilégios prévios ou autenticação e baseia-se apenas na capacidade de negociar uma sessão TLS e utilizar BDAT. Na prática, isto significa que servidores de e-mail expostos que anunciem CHUNKING na sua resposta EHLO e que tenham sido compilados com GnuTLS podem ser abatíveis a partir da rede. Como a sequência necessária é relativamente simples e que a falha altera estruturas internas do allocator, os pesquisadores a qualificam como de muito alto risco.
As recomendações imediatas são claras: atualizar Exim à versão 4.99.3 quanto antes. Não há aligeirações completas que substituam o adesivo de acordo com o aviso do projeto, pelo que permanecer em versões anteriores deixa a infraestrutura em risco. Se a atualização não puder ser aplicada imediatamente, considere medidas de mitigação temporárias até que seja possível corrigir: restringir o acesso de clientes não confiáveis ao serviço de SMTP através de listas de controle e firewalls, retirar temporariamente suporte TLS baseado em GnuTLS ou recompilar Exim usando outra biblioteca TLS (por exemplo, OpenSSL) se isso for viável no seu ambiente.
Para verificar rapidamente a versão e a configuração de TLS da sua instalação, você pode executar comandos de Exim para ver a versão instalada e, em muitos sistemas, revisar se Exim foi compilado com GnuTLS. Uma abordagem prática é consultar a saída de exim -bV ou a documentação de empacotamento do sistema, e verificar se o seu servidor anuncia CHUNKING na negociação EHLO. Além disso, monitorize logs por reinícios inesperados, core dumps ou padrões de BDAT combinados com fechamentos TLS, pois tentativas de exploração poderiam deixar traços em registros de conexão e falhas de processo.
No plano operacional a médio prazo, convém incorporar estas ações: implementar gestão de inventário que distinga não só versões de software, mas opções de compilação, automatizar testes em ambientes de staging antes de implantar atualizações críticas, e revisar a superfície de exposição do serviço SMTP (que portos e quais clientes estão autorizados). Também é recomendável ter detecção baseada em assinaturas e análise do tráfego TLS/SMTP para identificar sequências incomuns relacionadas com BDAT e close_notify.
Este episódio lembra precedentes perigosos: Exim já havia adesivos com um uso-after-free sobremaneira crítico em 2017 (CVE-2017-16943), que permitiu exploração remota por BDAT. A recorrência de falhas no manejo de BDAT enfatiza a complexidade de implementar extensões de protocolo que interagem com fechamentos de sessão TLS e gestão de búferes. Manter as bibliotecas TLS e o próprio MTA atualizados é uma medida preventiva essencial.
Você pode encontrar o comunicado e recursos do projeto Exim em seu site oficial https://www.exim.org/, e consultar o registro da vulnerabilidade na base de dados nacional de vulnerabilidades em https://nvd.nist.gov/vuln/detail/CVE-2026-45185. Para informações sobre as bibliotecas TLS mencionadas, ver https://www.gnutls.org/ e https://www.openssl.org/.
Em resumo: identifique quais hosts executam Exim compilado com GnuTLS, priorice a atualização a Exim 4.99.3, vigile indícios de exploração nos registros e, se não puder adesivo imediato, aplique controlos de acesso e considere alternativas temporárias de compilação para reduzir a exposição. A gravidade e a simplicidade da sequência explorável fazem desta vulnerabilidade uma prioridade para administradores de correio em produção.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...