A Fundação Mozilla está distribuindo uma correção para uma falha no navegador Firefox 3.6, que podia permitir a execução de códigos remotamente na máquina do usuário.

Em um post pulicado na tarde de quinta-feira (1/4), no site de desenvolvimento da Mozilla, a organização explica que versões anteriores do browser não foram afetadas pelo bug, mas recomenda que todos os usuários façam a atualização para o novo Firefox 3.6.3 o quanto antes.

No dia 18 de março, a Mozilla confirmou a existência de uma vulnerabilidade crítica na mais nova versão do Firefox, e disse que iria liberar a correção no final do mês. Até então, a solução parcial estava disponível em uma versão beta do Firefox 3.6.2.

“Recomendamos fortemente que todos os usuários do Firefox façam a atualização para esta versão mais recente”, afirma a Mozilla. “Se você já possui Firefox 3.6, receberá uma notificação de atualização automática dentro de 24 a 48 horas. Esta atualização também pode ser aplicada manualmente, selecionando “Check for Updates …” no menu Ajuda”, explica o comunicado.

O Firefox 3.6.3 também está disponível para download no site http://www.firefox.com para os sistemas operacionais Windows, Linux e Mac.

Postagens Relacionadas

Um problema na codificação de sites, conhecida tecnicamente como “cross-site request forgery”, permite que crackers ataquem portais para acessar dados pessoais de usuários que estejam autenticados online.O portal do jornal New York Times ainda está vulnerável. O YouTube, o portal de blogs MetaFilter e o banco ING Direct corrigiram a falha de codificação.

Em um ensaio acadêmico, os professores William Zeller e Edward Felten disseram que as falhas de CSRF foram ignoradas pelos desenvolvedores por falta de conhecimento sobre a seriedade do problema.

Diversos sites legítimos armazenam informações pessoais do internauta em um cookie ou em um arquivo de dados quando a pessoa se loga no portal.
Estas informações são requisitadas novamente para checagem, como durante o processo de uma compra online, por exemplo.

Durante o ataque de CSRF, um cracker envia esse pedido de checagem para o portal legítimo que – sem saber identificar que se trata de uma fraude – envia os dados pessoais do usuário.

“A causa principal que gerou o CSRF e outras vulnerabilidades está na complexidade dos protocolos de web e da evolução gradual da web como local de apresentação de dados para uma plataforma de serviços interativos,” defende o ensaio.

No portal do The New York Times, o cracker pode conseguir o endereço de e-mail de quem está logado no portal. Esse endereço pode se tornar destinatário de spam.

No dia 24 de setembro, a falha não foi corrigida, apesar dos pesquisadores terem notificado o jornal em setembro de 2007.

O problema no portal do ING foi mais sério. Zeller e Felten escreveram que a falha CSRF permite que uma outra conta corrente seja criada em nome da vítima. Além disso, um cracker poderia transferir o dinheiro para a sua própria conta. Os especialistas afirmam que o ING corrigiu o problema depois de notificado.

No site do MetaFile, a falha permite acesso à senha do usuário. Já no YouTube, um ataque permite adicionar vídeos na lista de favoritos do usuário e mandar mensagens para outros usuários. Nos dois portais, as falhas foram corrigidas segundo os pesquisadores.

Aparentemente, as falhas de CSRF são fáceis de serem achadas e corrigidas. Os autores do estudo indicam os detalhes técnicos para isso no ensaio. Eles também criaram um plug-in adicional para o Firefox para que os usuários se defendam de alguns tipos de ataques CSRF. 

Postagens Relacionadas

O Google corrigiu o problema de spams que atingia os usuários do Gmail, revelou a empresa na última quinta-feira (18/09).

Pela segunda vez em alguns meses, os usuários do serviço de e-mail do Google viram seu número de spams aumentar, e informaram sobre o problema mais uma vez no fórum oficial de discussão do Gmail.

“Sinto muito em saber que este problema está de volta. Obrigada por informar, nós já localizamos a causa do bug e o corrigimos em nosso sistema. Por favor, nos informem caso vocês continuem com o problema”, escreveu uma funcionária do Google, identificada como Sarah, no fórum.

Em maio deste ano, pesquisadores mostraram que uma falha no Gmail o transformava em uma máquina de envio de spams.

Um recente teste feito pelo Computerworld mostrou que o Gmail, Yahoo Mail e Hotmail são vulneráveis a invasões.

 Juan Carlos Perez, editor do IDG News Service, de Miami

Postagens Relacionadas

De acordo com a Symantec, sites legítimos hospedando conteúdo do Adobe Flash Player podem ser comprometidos ao utilizaram um JavaScript que redireciona os usuários para um servidor chinês de malwares. As versões do Flash Player afetadas incluem a 9.0.124.0 (a mais recente) e a 9.0.115.0.

A Symantec informou que sob certas circunstâncias, o JavaScript integrado ao player redireciona os usuários para dota11.cn. Em um alerta publicado nesta terça-feira, a empresa informou que detalhes específicos sobre a vulnerabilidade ainda são desconhecidos.

A empresa informou ter identificado pelo menos um site comercial afetado, www.bridgettwalther.com, que é um site de horóscopos, mas que o código malicioso já havia sido removido.

Mais detalhes estão disponíveis aqui.

A Symantec recomenda que os usuários utilizem plugins que desabilitem scripts, como o NoScript para o Firefox, para impedir que scripts integrados no Flash sejam carregados.

Postagens Relacionadas