A versão 3.6.12 do Mozilla Firefox corrige a falha que foi usada para infectar usuários do navegador no site do prêmio Nobel. O problema foi explorado sem haver qualquer notificação prévia da falha à Mozilla, deixando os usuários do navegador em risco imediato de infecção.

A atualização foi lançada apenas 2 dias após a exploração da brecha, mostrando a agilidade da Mozilla em lidar com problemas de segurança usados por hackers para atacar seus usuários.

Fonte: Aqui

Postagens Relacionadas

A Fundação Mozilla liberou uma versão mais atualizada de seu navegador Firefox (3.6.11), que corrige doze vulnerabilidades. Dentre as doze brechas solucionadas, cinco são consideradas críticas, ou seja, se exploradas poderiam levar ao controle remoto da máquina ou a inserção de código malicioso. Duas outras falhas foram consideradas importantes e uma moderada.

A última atualização havia sido no dia 15 de setembro. Para saber se o seu Firefox está atualizado, recorra ao menu Ajuda > Sobre o Mozilla Firefox. Caso ainda não tenha sido atualizado, basta clicar no item de verificação de novas atualizações, também sob o menu Ajuda.

Eu já atualizei o meu e você?

Postagens Relacionadas

Acaba de ser liberada uma atualização de segurança (KB2286198), em caráter emergencial, para todas as versões do Windows, desde o XP Service Pack 3, passando pelas edições para servidores 2003, 2008 e 2008 R2, até Vista e 7.

Confirmada há algumas semanas, a vulnerabilidade está presente em arquivos de atalho do Windows (extensão .LNK). Se explorada, um invasor remoto não autenticado pode ganhar controle sobre o sistema. Mais informações (em inglês).

A atualização, para todos os sistemas suportados, em 32 ou 64 bits, pode ser baixada dessa página ou, de preferência, instalada diretamente através do Windows Update, no Painel de Controle.

Segundo a Microsoft, em um dos blogs da companhia, houve um crescimento acentuado no número de ataques que exploram a falha de segurança nos últimos dias, por isso a empresa lançou a atualização nessa segunda-feria, fora do ciclo mensal.

Os mais atentos devem ter percebido que ontem (02) não foi uma terça-feira da segunda semana do mês, dia em que geralmente são liberadas atualizações para os produtos Windows e Office. Quebrar esse ciclo não é raro, mas a Microsoft só costuma fazer isso quando se trata de um problema sério.

Postagens Relacionadas

A Mozilla corrigiu, na quinta-feira (11/6), 11 vulnerabilidades no Firefox, sendo seis delas consideradas como críticas.A atualização foi a primeira desde o fim de abril, quando a Mozilla corrigiu um bug na versão do browser para Windows alguns dias antes de lançar uma versão beta do Firefox 3.5.

Entre as 11 falhas corrigidas no Firefox 3.0.11, seis foram classificadas como ‘críticas’, uma como ‘grave’, duas como ‘moderadas’ e quatro chamadas de ‘leves’, segundo o sistema de classificação da Mozilla.

Três dos bugs críticos tinham relação com os mecanismos de renderização e JavaScript, frequentes alvos de correção da Mozilla.

“Algumas falhas mostraram evidência de corrupção de memória sob certas circunstâncias e assumimos que, com mais esforço, elas poderiam ser exploradas para rodar códigos maliciosos”, diz o boletim de segurança da empresa.

Uma vulnerabilidade corrigida no SSL (do inglês Secure Sockets Layer) foi informada à Mozilla por três pesquisadores da Microsoft e um quarto da Purdue University.

Outras correções evitam que crackers roubem cookies do navegador e executem códigos JavaScript.

fonte: IdgNow

Postagens Relacionadas

Um problema na codificação de sites, conhecida tecnicamente como “cross-site request forgery”, permite que crackers ataquem portais para acessar dados pessoais de usuários que estejam autenticados online.O portal do jornal New York Times ainda está vulnerável. O YouTube, o portal de blogs MetaFilter e o banco ING Direct corrigiram a falha de codificação.

Em um ensaio acadêmico, os professores William Zeller e Edward Felten disseram que as falhas de CSRF foram ignoradas pelos desenvolvedores por falta de conhecimento sobre a seriedade do problema.

Diversos sites legítimos armazenam informações pessoais do internauta em um cookie ou em um arquivo de dados quando a pessoa se loga no portal.
Estas informações são requisitadas novamente para checagem, como durante o processo de uma compra online, por exemplo.

Durante o ataque de CSRF, um cracker envia esse pedido de checagem para o portal legítimo que – sem saber identificar que se trata de uma fraude – envia os dados pessoais do usuário.

“A causa principal que gerou o CSRF e outras vulnerabilidades está na complexidade dos protocolos de web e da evolução gradual da web como local de apresentação de dados para uma plataforma de serviços interativos,” defende o ensaio.

No portal do The New York Times, o cracker pode conseguir o endereço de e-mail de quem está logado no portal. Esse endereço pode se tornar destinatário de spam.

No dia 24 de setembro, a falha não foi corrigida, apesar dos pesquisadores terem notificado o jornal em setembro de 2007.

O problema no portal do ING foi mais sério. Zeller e Felten escreveram que a falha CSRF permite que uma outra conta corrente seja criada em nome da vítima. Além disso, um cracker poderia transferir o dinheiro para a sua própria conta. Os especialistas afirmam que o ING corrigiu o problema depois de notificado.

No site do MetaFile, a falha permite acesso à senha do usuário. Já no YouTube, um ataque permite adicionar vídeos na lista de favoritos do usuário e mandar mensagens para outros usuários. Nos dois portais, as falhas foram corrigidas segundo os pesquisadores.

Aparentemente, as falhas de CSRF são fáceis de serem achadas e corrigidas. Os autores do estudo indicam os detalhes técnicos para isso no ensaio. Eles também criaram um plug-in adicional para o Firefox para que os usuários se defendam de alguns tipos de ataques CSRF. 

Postagens Relacionadas

Uma viatura superequipada, destinada a permitir a comunicação em tempo real entre os agentes, é um dos destaques da 3ª Feira e Congresso Internacional de Segurança Eletrônica, que acontece em São Paulo.

Desenvolvido pela Motorola em parceria com a general Motors e a Rontam, o MOTOWiCAR oferece soluções como terminais móveis de dados, rádios digitais e sistema de identificação de placas. A criptografia, que oferece mais segurança na transmissão de fotos, é uma das tecnologias usadas nos equipamentos.

O carro-conceito permite a integração das diversas corporações da área de segurança, como Polícia Militar e Bombeiros, por exemplo, além de maior mobilidade de informações.

Muitos equipamentos incluídos na “viatura do futuro” já estão sendo usados pela polícia estadual de São Paulo, e algumas tecnologias foram usadas na segurança dos Jogos Panamericanos no Rio de Janeiro.

Compare Preços de Notebook: Positivo, Dell, Sony, Acer, Toshiba no Buscapé

Postagens Relacionadas

O Google anunciou, nesta sexta-feira (09/05), o Google Web Security, que permitirá às empresas monitorarem o uso da internet pelos usuários para evitar que malwares entrem na rede corporativa privada sem terem o login de usuário.O produto de segurança usa a tecnologia da Postini, adquirida pelo Google no ano passado. Segundo a empresa, além de proteção contra malwares, a plataforma oferecerá filtros de URL e recursos como política de denúncias.

O Google Web Security instalará um drive no computador do usuário e, quando ele usar a internet, as informações serão enviadas para o serviço, que buscará sites com malware – e os rompe antes que tenham uma chance de chegar às máquinas dos usuários finais.

“Eliminaremos as coisas ruins e deixaremos apenas as boas”, resume o gerente de marketing do Google, Tim Johnson. “E isso não gera nenhuma lentidão no sistema”, afirma.

Johnson explica que o serviço será especialmente útil para funcionários remotos, pois não terão que fazer login em uma rede privada para o serviço funcionar.

A nova ferramenta do Google será integrada com o serviço que os clientes da Postini usam para monitorar a segurança de seus e-mails.

Diferente dos recursos de segurança com a tecnologia da Postini oferecidos no Google Apps Premier gratuitamente, este serviço custará 36 dólares anuais por funcionário – 12 dólares para trabalhadores remotos.

Postagens Relacionadas