Entre as 11 falhas corrigidas no Firefox 3.0.11, seis foram classificadas como ‘críticas’, uma como ‘grave’, duas como ‘moderadas’ e quatro chamadas de ‘leves’, segundo o sistema de classificação da Mozilla.

Três dos bugs críticos tinham relação com os mecanismos de renderização e JavaScript, frequentes alvos de correção da Mozilla.

“Algumas falhas mostraram evidência de corrupção de memória sob certas circunstâncias e assumimos que, com mais esforço, elas poderiam ser exploradas para rodar códigos maliciosos”, diz o boletim de segurança da empresa.

Uma vulnerabilidade corrigida no SSL (do inglês Secure Sockets Layer) foi informada à Mozilla por três pesquisadores da Microsoft e um quarto da Purdue University.

Outras correções evitam que crackers roubem cookies do navegador e executem códigos JavaScript.

fonte: IdgNow

Postagens Relacionadas

Em um ensaio acadêmico, os professores William Zeller e Edward Felten disseram que as falhas de CSRF foram ignoradas pelos desenvolvedores por falta de conhecimento sobre a seriedade do problema.

Diversos sites legítimos armazenam informações pessoais do internauta em um cookie ou em um arquivo de dados quando a pessoa se loga no portal.
Estas informações são requisitadas novamente para checagem, como durante o processo de uma compra online, por exemplo.

Durante o ataque de CSRF, um cracker envia esse pedido de checagem para o portal legítimo que – sem saber identificar que se trata de uma fraude – envia os dados pessoais do usuário.

“A causa principal que gerou o CSRF e outras vulnerabilidades está na complexidade dos protocolos de web e da evolução gradual da web como local de apresentação de dados para uma plataforma de serviços interativos,” defende o ensaio.

No portal do The New York Times, o cracker pode conseguir o endereço de e-mail de quem está logado no portal. Esse endereço pode se tornar destinatário de spam.

No dia 24 de setembro, a falha não foi corrigida, apesar dos pesquisadores terem notificado o jornal em setembro de 2007.

O problema no portal do ING foi mais sério. Zeller e Felten escreveram que a falha CSRF permite que uma outra conta corrente seja criada em nome da vítima. Além disso, um cracker poderia transferir o dinheiro para a sua própria conta. Os especialistas afirmam que o ING corrigiu o problema depois de notificado.

No site do MetaFile, a falha permite acesso à senha do usuário. Já no YouTube, um ataque permite adicionar vídeos na lista de favoritos do usuário e mandar mensagens para outros usuários. Nos dois portais, as falhas foram corrigidas segundo os pesquisadores.

Aparentemente, as falhas de CSRF são fáceis de serem achadas e corrigidas. Os autores do estudo indicam os detalhes técnicos para isso no ensaio. Eles também criaram um plug-in adicional para o Firefox para que os usuários se defendam de alguns tipos de ataques CSRF. 

Postagens Relacionadas

Desenvolvido pela Motorola em parceria com a general Motors e a Rontam, o MOTOWiCAR oferece soluções como terminais móveis de dados, rádios digitais e sistema de identificação de placas. A criptografia, que oferece mais segurança na transmissão de fotos, é uma das tecnologias usadas nos equipamentos.

O carro-conceito permite a integração das diversas corporações da área de segurança, como Polícia Militar e Bombeiros, por exemplo, além de maior mobilidade de informações.

Muitos equipamentos incluídos na “viatura do futuro” já estão sendo usados pela polícia estadual de São Paulo, e algumas tecnologias foram usadas na segurança dos Jogos Panamericanos no Rio de Janeiro.

Compare Preços de Notebook: Positivo, Dell, Sony, Acer, Toshiba no Buscapé

Postagens Relacionadas

O Google Web Security instalará um drive no computador do usuário e, quando ele usar a internet, as informações serão enviadas para o serviço, que buscará sites com malware – e os rompe antes que tenham uma chance de chegar às máquinas dos usuários finais.

“Eliminaremos as coisas ruins e deixaremos apenas as boas”, resume o gerente de marketing do Google, Tim Johnson. “E isso não gera nenhuma lentidão no sistema”, afirma.

Johnson explica que o serviço será especialmente útil para funcionários remotos, pois não terão que fazer login em uma rede privada para o serviço funcionar.

A nova ferramenta do Google será integrada com o serviço que os clientes da Postini usam para monitorar a segurança de seus e-mails.

Diferente dos recursos de segurança com a tecnologia da Postini oferecidos no Google Apps Premier gratuitamente, este serviço custará 36 dólares anuais por funcionário – 12 dólares para trabalhadores remotos.

Postagens Relacionadas