Falha Crítica de Memória no FreeRDP Permite Execução de Código e Ataques de DoS

Ubuntu lançou a atualização de segurança USN-8432-1 para abordar uma vulnerabilidade crítica no FreeRDP, uma implementação popular de protocolo de desktop remoto de código aberto. A falha envolve manipulação inadequada de memória que cria uma condição de escrita heap fora dos limites, potencialmente permitindo que atacantes executem código arbitrário ou desencadeiem ataques de negação de serviço em sistemas afetados.

A vulnerabilidade afeta as distribuições Ubuntu 24.04 LTS e Ubuntu 25.10. Além da correção primária CVE-2026-45700, este patch também resolve uma regressão introduzida em uma atualização anterior e completa a remediação para três CVEs relacionadas que foram apenas parcialmente abordadas em lançamentos anteriores.

Organizações que usam FreeRDP para infraestrutura de acesso remoto devem priorizar a aplicação deste patch para evitar possível comprometimento de sistemas que dependem da implementação de protocolo afetada.

Detalhes da Vulnerabilidade

• CVE-2026-45700 decorre de manipulação incorreta de memória no FreeRDP sob condições específicas
• Escrita heap fora dos limites pode ser acionada por atacantes remotos sem autenticação
• A exploração poderia resultar em execução de código arbitrário com os privilégios do processo FreeRDP
• Negação de serviço também é possível através de corrupção de memória e travamentos de aplicação

Escopo do Patch e Sistemas Afetados

• USN-8432-1 aborda a vulnerabilidade primária e resolve uma regressão de USN-8105-1
• Completa correções para CVE-2026-22858, CVE-2026-23732 e CVE-2026-25952 no Ubuntu 24.04 LTS e 25.10
• Organizações devem verificar versões de implantação do FreeRDP e aplicar patches imediatamente
• Infraestrutura de desktop remoto e implementações de servidor de terminal são alvos primários para exploração

Fontes

• USN-8432-1: FreeRDP vulnerabilities