← Voltar ao blog

Vulnerabilidades Críticas no Kitty Terminal Permitem RCE via Manipulação de Imagens e Gráficos

O aviso de segurança do Ubuntu USN-8442-1 aborda duas vulnerabilidades críticas no emulador de terminal kitty que poderiam permitir execução remota de código através de dados de imagem malformados e comandos gráficos. Atacantes com acesso de entrada ao terminal podem disparar travamentos ou executar código arbitrário.

TL;DR

  • Dois CVEs descobertos no terminal kitty: CVE-2026-33633 (tratamento de dados de imagem) e CVE-2026-33642 (comandos gráficos)
  • Ambas as vulnerabilidades permitem negação de serviço ou execução de código arbitrário quando o atacante pode escrever na entrada do terminal ou injetar sequências de escape
  • Afeta sistemas executando versões vulneráveis do kitty; patch disponível via atualização de segurança do Ubuntu USN-8442-1
  • O risco é elevado para ambientes de terminal compartilhado, sessões SSH e sistemas processando saída de terminal não confiável

O Ubuntu lançou a atualização de segurança USN-8442-1 abordando duas vulnerabilidades críticas no emulador de terminal kitty. Essas falhas resultam do tratamento inadequado de dados de imagem e comandos do protocolo gráfico, criando caminhos para ataques de negação de serviço e execução de código arbitrário.

As vulnerabilidades são particularmente preocupantes porque podem ser disparadas por atacantes que ganham acesso de escrita ao fluxo de entrada de um terminal ou podem injetar sequências de escape maliciosas. Este modelo de ameaça é relevante em ambientes de computação compartilhada, sessões SSH e cenários onde a saída do terminal de fontes não confiáveis é exibida.

Administradores de sistema e usuários que dependem do kitty devem priorizar a aplicação do patch de segurança para mitigar o risco de exploração.

Detalhes da Vulnerabilidade

  • CVE-2026-33633: Tratamento inadequado de dados de imagem permite travamento ou execução de código via entrada do terminal
  • CVE-2026-33642: Falha no processamento de comandos gráficos permite negação de serviço ou execução de código arbitrário através de sequências de escape
  • Ambas as vulnerabilidades requerem capacidade do atacante de escrever na entrada do terminal ou injetar sequências de escape
  • O impacto varia de interrupção de serviço a comprometimento total do sistema dependendo dos privilégios do processo kitty

Superfície de Ataque e Avaliação de Risco

  • Ambientes de terminal compartilhado onde múltiplos usuários ou processos podem injetar entrada
  • Sessões SSH remotas exibindo saída de terminal ou dados de log não confiáveis
  • Sistemas automatizados processando saída de terminal de fontes externas sem sanitização
  • Multiplexadores de terminal e gerenciadores de sessão que retransmitem entrada do usuário para instâncias do kitty
  • Emuladores de terminal baseados na web ou plataformas terminal-as-a-service usando backend kitty

Orientação de Remediação

  • Aplique a atualização de segurança do Ubuntu USN-8442-1 imediatamente aos sistemas afetados
  • Verifique a versão do kitty pós-patch para confirmar a resolução da vulnerabilidade
  • Restrinja fontes de entrada do terminal e valide o tratamento de sequências de escape em aplicações upstream
  • Monitore comandos gráficos suspeitos ou dados de imagem malformados nos logs do terminal
  • Considere executar o kitty com privilégios mínimos quando viável

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

Vulnerabilidades Críticas no Kitty Terminal Permitem RCE via Manipulação de Imagens e Gráficos — Agent Breach Blog | Agent Breach