Introdução
Recentemente, a Fluid Attacks relatou uma vulnerabilidade de escalonamento de privilégios local (CVE-2026-2638) por meio de divulgação responsável, afetando as versões 77.0 a 77.5 do site X-VPN para macOS. Levamos o relatório a sério, reproduzimos o problema internamente e lançamos a correção na versão 77.5.1 do site X-VPN para macOS. Nossa revisão interna confirmou que o problema não estava no túnel VPN do X-VPN, no protocolo de criptografia, no sistema de contas ou na infraestrutura do servidor, e que nenhuma outra plataforma ou versão do X-VPN fora da faixa afetada do site macOS foi impactada. Nenhuma exploração em ambiente real foi observada. Os usuários das versões afetadas devem atualizar o mais rápido possível.
No espírito de transparência e responsabilidade, compartilharemos os detalhes da vulnerabilidade, seu escopo e as ações que tomamos.
Table of Contents
Nossas Principais Descobertas
CVE-2026-2638 é uma vulnerabilidade de elevação de privilégios local que afeta a versão do site X-VPN para macOS (a versão autônoma do macOS baixada de xvpn.io) nas versões 77.0-77.5. Um problema de elevação de privilégios local significa que, sob condições locais específicas, um usuário ou processo com permissões limitadas no mesmo dispositivo poderia obter acesso ao nível de administrador. O X-VPN corrigiu esse problema na versão 77.5.1 e posteriores do site X-VPN para macOS.
A vulnerabilidade teve origem no recurso Proteção de Download da versão do site X-VPN para macOS (encontrado em Segurança → Proteção do Navegador → Proteção de Download), que escaneia arquivos baixados, coloca em quarentena aqueles que parecem inseguros e os restaura mediante solicitação. Como a colocação em quarentena e a restauração de arquivos envolvem gravação em locais protegidos pelas permissões do sistema macOS, partes deste recurso são executadas com permissões de nível de administrador.
CVE-2026-2638 foi uma falha na forma como esta parte de nível de administrador do recurso verificava a identidade do arquivo nas etapas de varredura, quarentena e restauração, o que poderia permitir que um programa local malicioso redirecionasse uma operação privilegiada para um arquivo diferente daquele para o qual era destinado. Uma explicação detalhada é fornecida em O que é CVE-2026-2638.
Isso não foi um ataque remoto à rede e não afetou o túnel VPN do X-VPN, o protocolo de criptografia, o sistema de contas ou a infraestrutura do servidor. A versão do X-VPN na Mac App Store e o X-VPN para Windows, iOS, Android, Linux, Roteador, TV, Extensão do Chrome, Chromebook e Consoles de Jogos não foram afetados.
Usuários que executam as versões 77.0-77.5 do site X-VPN para macOS devem atualizar para a versão 77.5.1 ou posterior agora.
Os principais fatos estão resumidos abaixo:
Item | Declaração Oficial |
|---|---|
CVE ID | CVE-2026-2638 |
Status | Corrigido |
Versões Afetadas | X-VPN versão do site macOS 77.0–77.5 |
Versão Corrigida | X-VPN versão do site macOS 77.5.1 e posterior |
Versão Não Afetada | X-VPN versão da Mac App Store/ Windows/ iOS/ Android/ Linux/ Roteador/ TV/ Extensão do Chrome/ Chromebook/ Consoles de Jogos |
Tipo de Vulnerabilidade | Escalada de Privilégios Local |
Severidade | CVSS v4.0 pontuação 7.3, Alta |
Status de Exploração | Com base nos dados atualmente disponíveis, não temos conhecimento de qualquer exploração deste problema em ambientes reais; nenhum relatório de usuário relacionado foi recebido. |
Ação do Usuário | Atualize a versão do site X-VPN macOS para a versão 77.5.1 e posterior. |
O que é CVE-2026-2638?
Para explicar como o CVE-2026-2638 poderia ser explorado, é útil primeiro olhar como a Proteção de Download normalmente funciona.
A versão do site X-VPN para macOS da função de Proteção de Download segue um processo de três etapas: ela escaneia novos arquivos de download, coloca em quarentena arquivos que parecem suspeitos e os restaura quando uma ação de restauração é solicitada. Para identificar qual arquivo está sendo processado em cada etapa, a função rastreia o arquivo pela sua localização no Mac: seu caminho de arquivo. A vulnerabilidade surgiu disso: a função confiava apenas no caminho do arquivo para continuar apontando para o mesmo arquivo em todas as três etapas, sem re-verificar independentemente o conteúdo real do arquivo.
Em uso normal, essa é uma suposição justa, os caminhos dos arquivos geralmente não mudam entre as operações. Mas sob duas condições específicas, essa suposição pode ser explorada:
1
2
A primeira condição levanta uma pergunta natural: de onde viria um programa malicioso desse tipo em primeiro lugar? Isso vale a pena abordar brevemente, porque a resposta também mostra pelo que o CVE-2026-2638 é, e não é, responsável.
De Onde Vem o Programa Malicioso
Um programa malicioso pode acabar em um dispositivo por meio de qualquer um dos meios habituais, por exemplo, abrindo um e-mail de phishing, baixando e executando software de uma fonte não confiável ou instalando um aplicativo de terceiros comprometido. Esses caminhos iniciais de infecção são independentes do CVE-2026-2638 em si.
No macOS, os programas normalmente são executados com as permissões do usuário que os lançou. Um programa malicioso instalado através desses canais, portanto, começaria com apenas permissões de usuário regular, não poderia, por conta própria, modificar locais de sistema protegidos ou realizar ações em nível de administrador. Ganhar acesso em nível de administrador geralmente requer que o usuário o autorize explicitamente (como através de um prompt de senha). É por isso que as vulnerabilidades de escalonamento de privilégios locais são importantes: elas oferecem aos atacantes uma maneira de contornar essa barreira.
As Duas Lacunas Que Tornaram O Ataque Possível
Gap 1: A Lacuna de Tempo (CWE-367: Condição de Corrida de Tempo de Verificação e Tempo de Uso)
- A Proteção de Download verifica um arquivo em uma etapa e age sobre ele em uma etapa posterior. Há um breve momento entre esses dois eventos. Nesse momento, um programa malicioso, usando apenas as permissões de edição de arquivos que todos os usuários já possuem, poderia trocar o arquivo original por um diferente. A Proteção de Download então realizaria sua etapa privilegiada no arquivo trocado, e não no arquivo que havia verificado.
Gap 2: A Lacuna do Link Simbólico (CWE-59: Resolução de Link Inadequada Antes do Acesso ao Arquivo)
- O macOS permite que os usuários criem o que é essencialmente um atalho para outro arquivo, um “link simbólico”. Ele se parece e se comporta como um arquivo comum, mas quando qualquer programa o abre, o sistema redireciona automaticamente para o que o atalho está apontando.
A vulnerabilidade era que a Proteção de Download não verificava se o arquivo que estava prestes a manipular era realmente um atalho para outro lugar. Um programa malicioso poderia plantar tal atalho onde a Proteção de Download estava prestes a agir, fazendo com que apontasse para um arquivo importante em outro lugar no sistema. A Proteção de Download, que opera com permissões de nível de administrador, então realizaria inadvertidamente sua operação naquele arquivo, mesmo que esse arquivo nunca tivesse sido destinado a ser tocado.
Por que isso resultou em elevação de privilégios
Em ambos os casos, o programa malicioso em si não obteve diretamente novas permissões. O que ele fez foi redirecionar uma operação privilegiada legítima, realizada pela Proteção de Download, para um arquivo que o programa malicioso, de outra forma, não teria capacidade de modificar. Ao enganar a Proteção de Download para escrever em um local protegido do sistema em seu nome, o programa malicioso poderia indiretamente causar alterações que normalmente apenas processos de nível de administrador estão autorizados a fazer.
Isso é o que fez do CVE-2026-2638 uma escalada de privilégios local: não por roubar acesso de nível de administrador, mas por enganar uma operação legítima de nível de administrador para fazer algo que nunca deveria ter feito.
Na prática, isso significa que o programa malicioso poderia fazer alterações no comportamento do sistema do dispositivo que deveriam exigir autorização de administrador.
O que o CVE-2026-2638 não é
- Não é uma violação dos servidores X-VPN
- Não é uma vulnerabilidade no túnel VPN, protocolo de criptografia, sistema de contas ou infraestrutura de servidor.
- Não é um ataque remoto, requer acesso local de baixo privilégio ao dispositivo.
- Não aplicável a outras plataformas ou à versão da App Store
Como Nós Consertamos Isso
A versão 77.5.1 do X-VPN para macOS fortalece o fluxo de trabalho de restauração de arquivos de proteção de download. As principais melhorias incluem:
1. Verificações de Consistência de Identidade de Arquivo
Quando um arquivo baixado é escaneado pela camada de proteção, a impressão digital do conteúdo do arquivo é agora registrada. Se o arquivo precisar ser colocado em quarentena mais tarde, o X-VPN re-verifica se o conteúdo atual do arquivo ainda corresponde ao que foi escaneado.
Se o arquivo foi substituído, modificado ou de outra forma alterado após a digitalização, o processo de quarentena é rejeitado.
2. Validação da Integridade da Quarentena
Depois que um arquivo entra em quarentena, as informações de integridade sobre seu estado de quarentena são registradas. Antes que um usuário restaure o arquivo, o X-VPN re-verifica se o arquivo em quarentena ainda está em seu estado de quarentena registrado.
Se o arquivo em quarentena foi substituído ou modificado, a operação de restauração é bloqueada.
3. Links simbólicos não são aceitos em operações críticas
O fluxo de trabalho de proteção de download agora se recusa a escanear ou restaurar arquivos de link simbólico. Isso impede que atacantes redirecionem operações de quarentena ou restauração para arquivos não intencionais por meio de manipulação de caminho.
No geral, esta correção não depende mais apenas de caminhos de arquivo para identificar o arquivo em operação. Em vez disso, o X-VPN agora utiliza verificações de integridade de conteúdo em várias etapas para verificar se os arquivos não foram substituídos ou modificados durante as etapas de varredura, quarentena e restauração. Ele também bloqueia a redireção de links simbólicos que, de outra forma, poderia fazer com que operações de restauração privilegiadas se aplicassem a locais de arquivo não intencionais.
Compreendendo a Gravidade
CVE-2026-2638 foi classificado com uma pontuação base CVSS v4.0 de 7.3 (Alta), com a string do vetor:
CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CVSS (Common Vulnerability Scoring System) é a estrutura padrão da indústria para classificar a gravidade das vulnerabilidades de segurança. De acordo com a FIRST, a organização que mantém o padrão CVSS, o CVSS mede quão grave uma vulnerabilidade poderia ser se explorada com sucesso, não quão provável essa exploração realmente é na prática. Uma classificação “Alta” reflete, portanto, quanto dano a vulnerabilidade poderia causar sob exploração bem-sucedida, não uma previsão de quão provável é que seja explorada contra usuários reais.
A string de vetor acima divide a pontuação em múltiplas dimensões, como de onde o ataque deve se originar, quais condições devem ser atendidas para explorá-lo e quão seriamente um ataque bem-sucedido poderia afetar o sistema.
Na prática, dois atributos do vetor explicam por que explorar o CVE-2026-2638 está longe de ser simples:
- AV:L (Vetor de Ataque: Local). A exploração requer acesso local ao dispositivo. A vulnerabilidade não pode ser acionada remotamente pela internet.
- AT:P (Requisitos de Ataque: Presente). Condições específicas devem ser atendidas para que o ataque tenha sucesso, incluindo a capacidade de interagir com o fluxo de trabalho de restauração do arquivo de proteção de download afetado e manipular o manuseio de arquivos dentro de uma janela de tempo estreita.
Portanto, o CVE-2026-2638 deve ser levado a sério, e os usuários das versões afetadas do site macOS devem atualizar para a versão 77.5.1 ou posterior do site X-VPN para macOS. No entanto, como a exploração requer acesso local e condições específicas, isso não coloca os usuários do X-VPN em risco remoto imediato e em larga escala.
Escopo Afetado
A tabela abaixo resume quais versões do X-VPN são afetadas pelo CVE-2026-2638:
Plataformas e Versão | Afetado? |
|---|---|
X-VPN macOS website versões 77.0 a 77.5 (a versão macOS autônoma baixada de xvpn.io) | ⚠️ Afetado — por favor, atualize imediatamente |
X-VPN macOS website, versão 77.5.1 e posterior | ✅ Não afetado (contém a correção) |
X-VPN Mac versão da App Store | ✅ Não afetado |
X-VPN para Windows / Linux / iOS / Android / TV / Roteador / Chromebook / Consoles de Jogos / Extensão do Chrome | ✅ Não afetado |
Recomendações para Usuários
Atualize para a versão mais recente imediatamente
Para verificar sua versão atual:
- Abra o aplicativo X-VPN no seu MacBook.
- Clique em Configurações no canto inferior esquerdo.
- Clique em Sobre o X-VPN.
- Sua versão atual é mostrada sob “X-VPN para Mac”.
Se a sua versão estiver entre 77.0 e 77.5, atualize fazendo o download da versão mais recente na nossa página de download para Mac.
Próximos Passos & Contato
X-VPN continua comprometido com a segurança do usuário além deste problema específico. Como parte de nossas práticas de segurança contínuas.
- Auditorias de código contínuas e varreduras de vulnerabilidades: Revisamos regularmente nossa base de código e realizamos verificações de segurança para identificar e resolver problemas potenciais antes que cheguem aos usuários.
- Programa de Recompensa por Bugs: Damos as boas-vindas a pesquisadores de segurança para enviar relatórios de vulnerabilidade responsáveis através do nosso Programa de Recompensa por Bugs. Descobertas válidas e reproduzíveis são elegíveis para recompensas monetárias, ajudando-nos a fortalecer a segurança de cada cliente X-VPN.
- Canal de reporte direto: Se você descobrir uma preocupação de segurança ou suspeitar de comportamento incomum no X-VPN, por favor, envie um e-mail para security@xvpn.io. Todos os relatórios são revisados pela nossa equipe de segurança.
Agradecemos à Fluid Attacks por divulgar de forma responsável o CVE-2026-2638 e por trabalhar conosco durante o processo de divulgação coordenada.
Perguntas Frequentes
Esta vulnerabilidade foi corrigida?
Sim. A vulnerabilidade foi totalmente resolvida no X-VPN para a versão do site macOS 77.5.1. Os usuários das versões 77.0–77.5 devem atualizar imediatamente.
Estou em risco se estiver usando X-VPN?
Apenas os usuários do macOS nas versões baixadas diretamente de 77.0 a 77.5 são afetados. Se você estiver na versão 77.5.1 ou posterior, na versão da App Store, ou em qualquer outra plataforma (Windows, iOS, Android, Linux, etc.), você não está afetado.
A proteção de download está ativada por padrão na versão do site X-VPN para macOS?
Não. A Proteção de Download está desativada por padrão na versão do site X-VPN para macOS e deve ser ativada manualmente.
Como o fluxo de trabalho vulnerável só é executado quando a Proteção de Download está ativa, apenas os usuários que ativaram explicitamente esse recurso em uma versão afetada do site macOS (77.0 a 77.5) foram expostos ao CVE-2026-2638. Usuários que nunca ativaram a Proteção de Download não foram expostos ao caminho de código vulnerável.
Isso afeta a criptografia do meu VPN ou meus dados?
Não. A vulnerabilidade é um problema de elevação de privilégios local no próprio dispositivo do usuário. Não está no túnel VPN do X-VPN, no protocolo de criptografia, no sistema de contas ou na infraestrutura do servidor.
Alguém já foi realmente atacado usando essa vulnerabilidade?
Não observamos relatos de que essa vulnerabilidade tenha sido explorada na natureza. Ela foi descoberta e relatada pela Fluid Attacks por meio de um processo de divulgação responsável, permitindo-nos corrigi-la antes de qualquer exploração conhecida.
O ataque pode acontecer remotamente pela internet?
Não. Explorar essa vulnerabilidade requer que o atacante já tenha acesso local de baixo privilégio ao MacBook do usuário. Não pode ser acionado remotamente pela rede ou através de um site malicioso.
Onde posso relatar problemas de segurança para o X-VPN?
Por favor, envie um e-mail para security@xvpn.io ou envie através do nosso Programa de Recompensa por Bugs. Agradecemos e recompensamos divulgações de segurança responsáveis.
