Ir para o Conteúdo 1 Ir para a Página Inicial 2 Ir para o menu de Navegação 3 Ir para a Busca 4 Ir para o Mapa do site 5
Abrir menu principal de navegação
CTIR Gov - Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo
Termos mais buscados
  • imposto de renda
  • assinatura
  • inss
  • mei
  • Simples Nacional
Termos mais buscados
  • imposto de renda
  • assinatura
  • inss
  • Acesso à Informação
    • Institucional
      • Apresentação
      • Competências
      • Base Jurídica
      • Organograma
      • Histórico
      • Quem é quem
    • Ações e Programas
    • Auditorias
    • Consulta Pública
    • Convênios e Transferências
    • Dados Abertos
    • Informações Classificadas
    • Licitações e Contratos
    • Participação Social
    • Perguntas Frequentes
    • Portal Brasileiro de Dados Abertos
    • Receitas e Despesas
    • Servidores
    • Serviço de Informação ao Cidadão
  • Assuntos
    • Abrangência Operacional (Constituency)
    • Alertas e Recomendações
      • Alertas
      • Recomendações
    • Ascender Defesas
    • Base Normativa
      • Instrução Normativa GSI Nº 1, de 27 de maio de 2020
      • Norma Complementar nº 05/IN01/DSIC/GSIPR
      • Norma Complementar nº 08/IN01/DSIC/GSIPR
      • Norma Complementar nº 21/IN01/DSIC/GSIPR
      • Demais Normativos e Legislações
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
      • Colóquios
      • Oficinas Técnicas
    • Notícias
      • 2025
      • 2024
      • 2023
      • 2022
      • 2021
      • Anos Anteriores
      • 2026
    • Perguntas Frequentes
      • Sobre o Decreto 10.748/2021
    • Portaria GSI/PR Nº 120, de 21 de dezembro de 2022
    • Rede Federal de Gestão de Incidentes Cibernéticos (REGIC)
      • REGIC - Decreto Nº 10.748, de 16 de Julho de 2021
      • Órgãos integrantes
    • RFC 2350
      • RFC 2350 (Português BR)
      • RFC 2350 (English)
    • Serviços
    • TLP
    • Em Números 2026
  • Canais de Atendimento
    • Fale Conosco
    • Ouvidoria
    • Imprensa
    • Endereço
    • Comunicação de Incidentes de Rede
      • Comunicação de Incidentes de Rede
      • Network Incident Reporting
      • Comunicación de Incidentes en la Red
    • Orientações para Notificação de Incidentes Cibernéticos ao CTIR Gov
  • Centrais de Conteúdo
    • Imagens
      • Logotipo/Design do CTIR Gov
      • Regic
    • Vídeos
      • Palestras
    • Publicações
      • Boletim Informativo Mensal
      • Legislação (SIC)
    • Palestras em PDF
      • Coloquios
      • Fóruns
      • Oficinas
      • Webinários
    • Termo de Adesão do Decreto 10.748/2021 - REGIC
  • Composição
  • Sobre o CTIR Gov
    • Abrangência Operacional (Constituency)
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
    • RFC 2350
    • Serviços
  • Guia sobre Ransomware
  • GOV.BR
    • Serviços
      • Buscar serviços por
        • Categorias
        • Órgãos
        • Estados
      • Serviços por público alvo
        • Cidadãos
        • Empresas
        • Órgãos e Entidades Públicas
        • Demais segmentos (ONGs, organizações sociais, etc)
        • Servidor Público
    • Temas em Destaque
      • Orçamento Nacional
      • Redes de Atendimento do Governo Federal
      • Proteção de Dados Pessoais
      • Serviços para Imigrantes
      • Política e Orçamento Educacionais
      • Educação Profissional e Tecnológica
      • Educação Profissional para Jovens e Adultos
      • Trabalho e Emprego
      • Serviços para Pessoas com Deficiência
      • Combate à Discriminação Racial
      • Política de Proteção Social
      • Política para Mulheres
      • Saúde Reprodutiva da Mulher
      • Cuidados na Primeira Infância
      • Habitação Popular
      • Controle de Poluição e Resíduos Sólidos
    • Notícias
      • Serviços para o cidadão
      • Saúde
      • Agricultura e Pecuária
      • Cidadania e Assistência Social
      • Ciência e Tecnologia
      • Comunicação
      • Cultura e Esporte
      • Economia e Gestão Pública
      • Educação e Pesquisa
      • Energia
      • Forças Armadas e Defesa Civil
      • Infraestrutura
      • Justiça e Segurança
      • Meio Ambiente
      • Trabalho e Previdência
      • Turismo
    • Galeria de Aplicativos
    • Acompanhe o Planalto
    • Navegação
      • Acessibilidade
      • Mapa do Site
      • Termo de Uso e Aviso de Privacidade
    • Consultar minhas solicitações
    • Órgãos do Governo
    • Por dentro do Gov.br
      • Dúvidas Frequentes em relação ao Portal gov.br
      • Dúvidas Frequentes da conta gov.br
      • Ajuda para Navegar o Portal
      • Conheça os elementos do Portal
      • Política de e-participação
      • Termos de Uso
      • Governo Digital
      • Guia de Edição de Serviços do Portal Gov.br
    • Canais do Executivo Federal
    • Dados do Governo Federal
      • Dados Abertos
      • Painel Estatístico de Pessoal
      • Painel de Compras do Governo Federal
      • Acesso à Informação
    • Empresas e Negócios
Links Úteis
  • Galeria de Aplicativos
  • Participe
  • Galeria de Aplicativos
  • Participe
Redes sociais
  • Twitter
  • YouTube
  • RSS
  • RSS
  • Linkedin
Você está aqui: Página Inicial Assuntos Alertas e Recomendações Recomendações 2026 RECOMENDAÇÃO 08/2026
Info

Notícias

RECOMENDAÇÃO 08/2026

Recomendações de Segurança Cibernética – Atualização para a versão 150 do Mozila Firefox
Compartilhe por Facebook Compartilhe por Twitter Compartilhe por LinkedIn Compartilhe por WhatsApp link para Copiar para área de transferência
Publicado em 12/09/2025 11h59 Atualizado em 24/04/2026 15h16

[TLP:CLEAR]

1. O CTIR Gov recomenda uma atualização de segurança de altíssima relevância para o navegador Mozilla Firefox. A versão 150, lançada em 21 de abril de 2026, incorpora correções de vulnerabilidades de segurança. O volume expressivo é resultado de uma análise aprofundada do código do Firefox. 


2. Impacto e Vetores de Ataque

 2.1 As vulnerabilidades corrigidas abrangem diferentes componentes do navegador e, com base no aviso MFSA 2026-30 e em inteligência de ameaças, podem levar a:

- Execução Remota de Código (RCE): Vulnerabilidades use-after-free como CVE-2026-6746 (CVSS 7.5 — Alta), CVE-2026-6754 e CVE-2026-6758 permitem que um atacante execute código arbitrário no sistema da vítima.
- Escalação de Privilégios: CVE-2026-6750, no componente Graphics: WebRender, pode permitir escalação de privilégios e é classificada como de impacto alto.
- Corrupção de memória via WebAssembly: CVE-2026-6757 envolve um ponteiro inválido no componente JavaScript: WebAssembly, podendo corromper memória e possibilitar execução remota de código.
- Vazamento de Informações: Vulnerabilidades de memória não inicializada como CVE-2026-6748, CVE-2026-6749 e CVE-2026-6751 podem expor dados sensíveis do usuário ou da memória do sistema.
- Bypass de Mitigações de Segurança: Falhas como CVE-2026-6755 (mitigation bypass no DOM: postMessage) permitem contornar mecanismos de defesa do navegador.


 2.2 CVE de alto impacto corrigidas nesta versão
 
 Foram corrigidas diversas vulnerabilidades na versão 150, das quais 12 foram classificadas como críticas (execução remota de código, escalonamento de privilégios e bypass de sandbox):  

CVE-2026-6746: Use-after-free in the DOM: Core & HTML component;
CVE-2026-6747: Use-after-free in the WebRTC component;
CVE-2026-6748: Uninitialized memory in the Audio/Video: Web Codecs component;
CVE-2026-6749: Information disclosure due to uninitialized memory in the Graphics: Canvas2D component;
CVE-2026-6750: Privilege escalation in the Graphics: WebRender component;
CVE-2026-6751: Uninitialized memory in the Audio/Video: Web Codecs component;
CVE-2026-6752: Incorrect boundary conditions in the WebRTC component;
CVE-2026-6753: Incorrect boundary conditions in the WebRTC component;
CVE-2026-6754: Use-after-free in the JavaScript Engine component;
CVE-2026-6784: Memory safety bugs fixed in Firefox 150 and Thunderbird 150;
CVE-2026-6785: Memory safety bugs fixed in Firefox ESR 115.35, Firefox ESR 140.10, Thunderbird ESR 140.10, Firefox 150 and Thunderbird 150; e 
CVE-2026-6786: Memory safety bugs fixed in Firefox ESR 140.10, Thunderbird ESR 140.10, Firefox 150 and Thunderbird 150.


3. Matriz de Mitigação e Detecção Recomendada

 3.1 Atualização Imediata (Alta Prioridade)

Todos os órgãos da administração pública devem atualizar o Mozilla Firefox para a versão 150 em todas as estações de trabalho e servidores que utilizem o navegador.
- Windows/macOS/Linux: atualização via menu (Ajuda > Sobre o Firefox) ou ferramentas de gerenciamento centralizado (WSUS, GPO, repositórios Linux).
- Versões ESR afetadas: Firefox ESR 115.x anteriores a 115.35 e ESR 140.x anteriores a 140.10.
- Todas as versões anteriores à 150 são consideradas vulneráveis.

 3.2 Mitigações Temporárias (caso a atualização não seja possível de imediato)

- Isolar estações com Firefox desatualizado em VLAN de acesso restrito, permitindo apenas domínios governamentais essenciais.
- Considerar o bloqueio temporário do motor WebAssembly via `about:config` (`javascript.options.wasm = false`), ciente de possível impacto em sistemas legítimos.

 3.3 Monitoramento e Detecção

Técnica de Detecção Regra/Padrão de Busca Justificativa 
Comportamento de Processo `parent:firefox.exe AND (child:powershell.exe OR child:cmd.exe)` Indicativo clássico de shellcode pós-exploração. 
Integridade de Memória  Monitoramento de chamadas `VirtualAlloc` com permissões `RWX` originadas do Firefox Típico de injeção de código via JIT compiler. 
Rede (C2  Conexões de `firefox.exe` para IPs de alta raridade ou portas não-padrão (ex: 4444, 8080, 8443) Detecção de backdoors de segundo estágio. 
Logs de Crash  Eventos de crash anômalos do navegador em sequência curta de tempo    Possível indicador de tentativas de fuzzing ou exploração. 
Logs de Proxy/Firewall  Acessos a padrões de URL suspeitos (ex: `heapspray`, `shellcode`, domínios recém-registrados)  Detecção de tentativas de drive-by exploit. 

   

4. Considerações finais  
A versão 150.0 do Firefox é uma das atualizações de segurança mais densas dos últimos anos, corrigindo dezenas de falhas que, se exploradas, permitem ao atacante assumir o controle total do equipamento sem qualquer ação além da navegação para um site malicioso.  

A demora na aplicação dessa atualização representa um risco iminente e desnecessário para a infraestrutura de TI governamental. 

Em caso de suspeita de comprometimento via navegador Firefox – como comportamento inesperado da estação, conexões de rede não autorizadas ou desativação de ferramentas de segurança – o órgão deve reportar imediatamente ao CTIR Gov:  ctir@ctir.gov.br  

[TLP:CLEAR]


Categoria
Comunicações e Transparência Pública

Comunicações e Transparência Pública
Compartilhe por Facebook Compartilhe por Twitter Compartilhe por LinkedIn Compartilhe por WhatsApp link para Copiar para área de transferência
  • Acesso à Informação
    • Institucional
      • Apresentação
      • Competências
      • Base Jurídica
      • Organograma
      • Histórico
      • Quem é quem
    • Ações e Programas
    • Auditorias
    • Consulta Pública
    • Convênios e Transferências
    • Dados Abertos
    • Informações Classificadas
    • Licitações e Contratos
    • Participação Social
    • Perguntas Frequentes
    • Portal Brasileiro de Dados Abertos
    • Receitas e Despesas
    • Servidores
    • Serviço de Informação ao Cidadão
  • Assuntos
    • Abrangência Operacional (Constituency)
    • Alertas e Recomendações
      • Alertas
      • Recomendações
    • Ascender Defesas
    • Base Normativa
      • Instrução Normativa GSI Nº 1, de 27 de maio de 2020
      • Norma Complementar nº 05/IN01/DSIC/GSIPR
      • Norma Complementar nº 08/IN01/DSIC/GSIPR
      • Norma Complementar nº 21/IN01/DSIC/GSIPR
      • Demais Normativos e Legislações
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
      • Colóquios
      • Oficinas Técnicas
    • Notícias
      • 2025
      • 2024
      • 2023
      • 2022
      • 2021
      • Anos Anteriores
      • 2026
    • Perguntas Frequentes
      • Sobre o Decreto 10.748/2021
    • Portaria GSI/PR Nº 120, de 21 de dezembro de 2022
    • Rede Federal de Gestão de Incidentes Cibernéticos (REGIC)
      • REGIC - Decreto Nº 10.748, de 16 de Julho de 2021
      • Órgãos integrantes
    • RFC 2350
      • RFC 2350 (Português BR)
      • RFC 2350 (English)
    • Serviços
    • TLP
    • Em Números 2026
  • Canais de Atendimento
    • Fale Conosco
    • Ouvidoria
    • Imprensa
    • Endereço
    • Comunicação de Incidentes de Rede
      • Comunicação de Incidentes de Rede
      • Network Incident Reporting
      • Comunicación de Incidentes en la Red
    • Orientações para Notificação de Incidentes Cibernéticos ao CTIR Gov
  • Centrais de Conteúdo
    • Imagens
      • Logotipo/Design do CTIR Gov
      • Regic
    • Vídeos
      • Palestras
    • Publicações
      • Boletim Informativo Mensal
      • Legislação (SIC)
    • Palestras em PDF
      • Coloquios
      • Fóruns
      • Oficinas
      • Webinários
    • Termo de Adesão do Decreto 10.748/2021 - REGIC
  • Composição
  • Sobre o CTIR Gov
    • Abrangência Operacional (Constituency)
    • Comunicação de Incidentes de Rede
    • CTIR Gov Em Números
    • Eventos
    • Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC)
    • RFC 2350
    • Serviços
  • Guia sobre Ransomware
Redefinir Cookies
Redes sociais
  • Twitter
  • YouTube
  • RSS
  • RSS
  • Linkedin
Acesso àInformação
Todo o conteúdo deste site está publicado sob a licença Creative Commons Atribuição-SemDerivações 3.0 Não Adaptada.
Voltar ao topo da página
Fale Agora Refazer a busca