Claude Mythos corrige falha ativa há 29 anos que ainda poderia vazar dados

Pesquisadores da empresa de segurança Calif descobriram uma vulnerabilidade no Squid Proxy, software amplamente usado em redes corporativas, escolas e redes Wi-Fi públicas, que existia no código desde 1997. A falha, batizada de Squidbleed e registrada como CVE-2026-47729, permite que um atacante leia partes da memória do servidor e recupere dados sensíveis de outros usuários conectados ao mesmo proxy.

O Squid é um software que funciona como intermediário entre usuários e a internet. Quando você acessa um site em uma rede corporativa ou escolar, muitas vezes sua requisição passa primeiro pelo Squid, que pode armazená-la em cache, filtrá-la ou simplesmente encaminhá-la.

Por centralizar o tráfego de muitos usuários, o proxy guarda dados de várias requisições ao mesmo tempo. É aí que a falha se torna perigosa.

Como a vulnerabilidade funciona

O problema está no código que o Squid usa para interpretar listagens de diretórios em servidores FTP, um protocolo antigo de transferência de arquivos.

Quando o servidor FTP retorna uma linha sem nome de arquivo, o código começa a ler a memória além do espaço reservado para aquela linha. Isso acontece por uma característica da função “strchr”, da linguagem C. Nela, ao procurar pelo caractere nulo que marca o fim de uma string, retorna um ponteiro válido para ele em vez de indicar que não encontrou nada. O código então avança além desse ponto e continua lendo.

O que vem depois na memória pode ser qualquer coisa que o Squid tenha processado antes. Como o software reutiliza blocos de memória sem apagá-los, esses blocos podem conter requisições HTTP de outros usuários.

Os pesquisadores demonstraram o ataque recuperando um cabeçalho de autenticação de uma página de login. Credenciais, tokens de sessão e chaves de API, tudo que trafega em HTTP comum pelo proxy, pode ser exposto.

Por que sobreviveu quase três décadas sem ser detectada? 

A falha é muito sutil. Ela depende de um comportamento específico da função strchr na linguagem C: ao buscar pelo caractere nulo, ela o encontra, porque esse caractere faz parte técnica da string. Poucos revisores humanos pensariam em testar esse caso.

Felizmente, a correção é mínima: duas linhas de código que verificam se o ponteiro chegou ao fim da string antes de chamar a função. Segundo os pesquisadores, essa omissão sobreviveu a quase trinta anos de revisões, auditorias e reescritas.

Quem descobriu e como

A Calif afirma ter usado o Claude Mythos Preview, modelo de IA da Anthropic ainda em fase de testes com organizações selecionadas, para encontrar a falha. Ao analisar o código do módulo FTP do Squid, o modelo identificou o comportamento problemático da função quase imediatamente, citando a cláusula exata do padrão C11 que explica por que strchr retorna um ponteiro não nulo ao buscar pelo caractere nulo.

A mesma abordagem já havia sido usada para encontrar uma vulnerabilidade grave no OpenSSL e uma técnica de negação de serviço no protocolo HTTP/2.

Quem está em risco

A falha afeta qualquer instalação do Squid com suporte a FTP ativo, que é o comportamento padrão. O atacante precisa controlar um servidor FTP acessível pelo proxy, o que é viável em ambientes corporativos e legados.

Conexões HTTPS normais não são afetadas, já que o Squid as trata como túneis opacos e não lê o conteúdo. Os pesquisadores encontraram o Squid rodando até em sistemas de Wi-Fi de bordo em aeronaves, em versões com quase dez anos de defasagem.

O que fazer

Uma correção foi incorporada ao Squid 8 em abril de 2026 e incluída na versão 7.6 em junho de 2026. Quem não puder atualizar imediatamente pode desativar o suporte a FTP, o que elimina completamente a superfície de ataque. Como a maioria das organizações já não usa FTP de forma legítima, a medida praticamente não tem custo operacional.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.