Uma vulnerabilidade crítica na ferramenta de gestão de energia TLP para Linux foi corrigida após investigadores descobrirem que permitia a atacantes locais contornar a autenticação e alterar definições do sistema. A falha, identificada na versão 1.9.0 e registada como CVE-2025-67859, resultava de uma condição de corrida no mecanismo Polkit. Os developers do TLP lançaram a versão 1.9.1 a 7 de janeiro de 2026, abordando o problema após divulgação coordenada.
Investigadores de segurança da SUSE e openSUSE descobriram um bypass de autenticação grave na versão 1.9.0 do TLP, uma utilidade popular para otimizar a duração da bateria de portáteis em sistemas Linux. Registada como CVE-2025-67859, a vulnerabilidade explorava o sujeito descontinuado «unix-process» do Polkit, que depende de IDs de processos para autorização. Este método, conhecido por ser suscetível a condições de corrida desde CVE-2013-4288, permitia a utilizadores locais sem privilégios substituir os seus processos durante verificações de autenticação, ganhando controlo sobre perfis de energia e registo do daemon sem credenciais administrativas. O problema surgiu com a introdução de um novo daemon de energia no TLP 1.9.0, com uma API D-Bus para definições do sistema. Os investigadores Matthias Gerstner e Filippo Bonazzi identificaram que atacantes podiam explorar isto para modificar configurações arbitrariamente em ambientes multi-utilizador, representando riscos de adulteração do sistema. Falhas adicionais incluíam valores de cookies previsíveis que permitiam a libertação não autorizada de holds de perfil, exceções não tratadas de pedidos malformados e holds de perfil ilimitados que podiam levar a ataques de negação de serviço. Estes alargavam coletivamente a superfície de ataque. A 16 de dezembro de 2025, os investigadores notificaram o developer upstream do TLP, que respondeu prontamente e forneceu patches em quatro dias. Após revisão, o TLP 1.9.1 foi lançado a 7 de janeiro de 2026, implementando correções chave: mudança para o sujeito seguro «system bus name» do Polkit, uso de valores de cookies aleatórios criptograficamente, limitação de holds de perfil simultâneos a 16 e melhoria da validação de entrada. Utilizadores e administradores Linux são instados a atualizar para a versão 1.9.1 ou posterior via gestor de pacotes da sua distribuição. Este incidente destaca a necessidade de segurança robusta em utilitários que lidam com operações D-Bus privilegiadas, com a resposta colaborativa rápida exemplificando uma gestão eficaz de vulnerabilidades.
