Arquivo

Archive for the ‘Browser’ Category

Microsoft investiga nova falha no IE

Através de uma mensagem publicada no blog Microsoft Security Response Center, Jerry Bryant, da Microsoft, confirmou que a empresa está investigando uma nova vulnerabilidade no Internet Explorer divulgada recentemente.

De acordo com a mensagem, a falha pode permitir que os atacantes executem código arbitrário no PC do usuário caso ele seja convencido a visitar um site malicioso e pressionar a tecla F1 após a exibição de uma janela pop-up (praticamente a mesma falha que afetou o Firefox 3.6).

A falha afeta o Windows 2000, Windows XP, Windows Server 2003 e requer o uso de VBScript e arquivos de ajuda do Windows no Internet Explorer. O Windows Vista, Windows 7 e Windows Server 2008 e 2008 R2 não são afetados pelo problema.

A Microsoft informou que ainda não detectou ataques que exploram este problema e que uma correção será lançada para o IE quando a investigação for concluída.

Fonte: iMasters

Firefox 3.6 possui falha altamente crítica

De acordo com um alerta da empresa de segurança Secunia, há uma nova falha de segurança no Firefox considerada “altamente crítica” pela empresa. A brecha pode ser explorada para comprometer o computador do usuário.

A causa da vulnerabilidade está em um erro no código do navegador e pode ser usada para execução de código arbitrário.

A falha foi descoberta na versão 3.6, mas pode afetar versões anteriores, afirmou a Secunia.

O recomendado é não visitar sites não confiáveis e não clicar em links desconhecidos (regras básicas para manter a segurança mínima de um sistema).

Informações de Baboo

Google anuncia o fim do suporte ao IE6

Ontem (29/01/2010), em comunicado oficial, o Google afirmou que a partir do primeiro dia de março, os produtos Google não funcionarão mais no Internet Explorer 6. Em outras fontes, a data informada é 10/03. O comunicado veio duas semanas depois que uma falha no IE6 levou a ataques contra o Google e outras empresas americanas. Segundo dados da StatCounter, apesar do número de usuários do browser ter diminuído desde o lançamento do IE8, 13,5% dos usuários de internet ainda utilizam IE6.

Os primeiros serviços a serem afetados serão o Google Docs e Google Sites.

O Google aconselha seus usuários a atualizarem suas versões de navegadores a uma das opções mais recentes: Microsoft Internet Explorer 7.0, Mozilla Firefox 3.0, Google Chrome 4.0 e Safari 3.0.

“A web evoluiu nos últimos dez anos”, começa o texto. “De simples páginas de texto a aplicativos interativos que incluem vídeos e voz. Infelizmente, browsers muito antigos não podem rodar muitas dessas novas funcionalidades adequadamente”.

A empresa afirma também que estará descontinuando o uso de browsers que não tenham suporte de seus fabricantes.

Os usuários que insistirem em utilizar o navegador inseguro receberão uma mensagem de alerta avisando que funcionalidades básicas dos serviços não são mais compatíveis com o navegador.

No blog oficial do Google, Rajen Sheth, gerente de aplicativos sênior do Google, sugeriu que os usuários façam o upgrade do IE6 para o IE8 ou mudem para qualquer navegador mais moderno (e seguro), no caso, o Firefox, o Opera ou o Chrome.

Informações de Google Enterprise Blog

Mozilla lança versão do Firefox 1.0 mobile

A Mozilla lançou ontem a sua primeira versão do browser Firefox para “telemóveis“.

O navegador pode ser completamente integrado com o seu PC através da ferramenta Weave Sync.

Com ela, você pode navegar no desktop e, quando mudar para o smartphone, encontrará todos os seus acessos: as abas, histórico, favoritos e até mesmo as senhas.

Dessa forma, a Mozilla pretende facilitar a vida do usuário de internet em celulares: com as principais informações armazenadas, diminuindo a necessidade de se ficar digitando nos pequenos teclados dos smartphones.

O projeto está sendo lançado em parceria com o Nokia900, e o Flash ainda é experimental, mas pode ser ativado nas configurações.

Nota: li em alguns sites, comentários e perguntas sobre o Fennec. Até eu mesmo me perguntei se a Mozilla iria manter os dois navegadores móveis no mercado ou iria substituir a “pequena raposa” pelo Firefox Mobile 1.0. Mas um pequeno trecho das FAQs sobre Mobile no site da Mozilla esclarece bem a dúvida.  Segundo o site, “Fennec é o codinome do projeto móvel da Mozilla, entretanto, o nome oficial do produto é o Firefox”.

Dúvidas sanadas, agora temos mais uma opção confiável de navegação na internet em casa, no trabalho, no trânsito… use e seja Firefox!

Novo malware explora, mais uma vez, vulnerabilidade do Internet Explorer


A novela continua… Mal a Microsoft lançou uma atualização de segurança para corrigir uma séria falha no Internet Explorer, a Symantec confirmou uma nova ameaça que usa o mesmo caminho dos recentes ataques ao Google através do browser. O malware está ativo e aqueles que não tiverem aplicado o pacote de segurança lançado pela MS estão em risco.

A ameaça substitui o código da API MessageBeep que o Internet Explorer utiliza para acionamento comuns de beeps. Isso faz com que o código malicioso tenha acesso a todas as APIs do navegador. Como resultado, um arquivo malicioso é baixado.

De acordo com Josh Talbot, gerente de inteligência de segurança da Symantec, a nova ameaça está sendo hospedada em centenas de sites, que têm um código shell que mostra um diálogo de alerta depois de o arquivo baixado ser executado.

Segundo o time da empresa de segurança nCicle, a comunidade da internet está ficando a par do que os peritos de segurança já tinham conhecimento há muito tempo. A diferença é que as brechas de segurança estão sendo amplamente discutidas. É impossível, segundo Oliver Lavery, que um programa como o IE6, que foi desenvolvido há quase 10 anos, tenha poucas atualizações de segurança e continue sem vulnerabilidades. Mostra a total ineficiência na segurança do browser, a total vulnerabilidade e a negligência da Microsoft sobre o caso.

Informações de iMasters

Microsoft admite saber de falha no Internet Explorer desde agosto

Assim que lançou a correção para a vulnerabilidade no Internet Explorer, usado na invasão da rede do Google e mais de 30 outras empresa, na quinta-feira (21/1), a Microsoft reconheceu que já sabia do erro desde agosto de 2009, quando uma empresa de segurança israelense alertou a companhia.

“Como parte da investigação, também determinamos que a vulnerabilidade é a mesma alertada e confirmada em setembro”, disse o gerente de programação da Microsoft, Jerry Bryant.

O boletim MS10-002, que acompanha a correção do IE, credita à BugSec Security a informação da existência do bug que causou um escândalo com a acusação do Google de ter sido vítima de crackers chineses.

O especialista em segurança da BugSec, Eyal Gruner, disse que a vulnerabilidade foi relatada à Microsoft no dia 26 de agosto, não em setembro. E ele criticou a Microsoft por ter demorado tanto para soltar a atualização. “Mas a Microsoft é uma grande organização e não sabemos quanto tempo isso demora para eles. Perguntamos o motivo da demora, e eles disseram que estavam testando o que tinham que testar.”

Além da vulnerabilidade usada para atacar o Google, a Microsoft também corrigiu outros sete erros na atualização do Internet Explorer. Das oito falhas, sete são consideradas críticas pela empresa.

“A atualização de fevereiro do IE foi adiantada, na verdade”, disse o diretor de operações de segurança da nCircle, Andrew Storms, se referindo à Microsoft ter admitido que esse patch estava previsto anteriormente para 9 de fevereiro.

A atualização de segurança do IE pode ser baixada e instalada pelos serviços Microsoft Update e Windows Update, assim como pelo Windows Server Update Service.

Fonte: IDG Now!

Microsoft fala sobre a falha no IE

A Microsoft emitiu esta semana um comunicado sobre as falhas recentes descobertas no Internet Explorer, apontadas como fonte do ataque sofrido pelo Google e mais de 30 empresas, nos últimos meses. A desculpa que a MS deu foi que a versão que apresentou o problema foi lançada há 10 anos (IE6), e por isso não está “vacinada” contra ameaças recentes (afinal, pra quê servem os updates e hotfix disponibilizados no Windows Update!?).

Em nota, a Microsoft ainda declarou: “Sabemos que nenhum browser atualmente é 100% seguro (sério!!!), pois os ataques a navegadores são constantemente renovados e aprimorados. Por isso, recomendamos que todos os usuários migrem as versões utilizadas para a última versão do navegador, o Internet Explorer 8, sendo esta a forma mais efetiva de evitar esse tipo de problema”.

A empresa também apontou que não foram detectados casos de exploração da vulnerabilidade na América Latina, o que não significa que os usuários estejam seguros. A recomendação principal consiste na atualização do navegador e na definição do nível máximo de segurança como padrão para acessar a web.

A brecha permite que invasores acessem os sistemas remotamente, permitindo o roubo de informações.“A vulnerabilidade existe como uma referencia de ponteiro inválido dentro do Internet Explorer. É possível, em certas circunstâncias, permitir que esse ponteiro inválido seja acessado depois que um objeto for apagado”, explica a MS em seu boletim de segurança.

O documento também apresenta uma lista de sistema e versões afetadas pelo problema, como é o caso do Internet Explorer 6 Service Pack 1 no Microsoft Windows 2000 Service Pack 4, Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 nas versões suportadas do Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Vale lembrar que apenas casos com o IE 6 foram registrados.

A Microsoft afirmou que está trabalhando em uma nova atualização de segurança para todos seus navegadores, incluindo o Internet Explorer 6.

Esses são problemas que usuários de Firefox não precisam se preocupar! Caso mude de idéia e queira inovar, baixe aqui a versão RC do Firefox 3.6 e saiba o que é navegação segura de verdade.

Sugestão de leitura: 6 razões por que o Firefox é mais seguro se comparado ao Internet Explorer (6 Reasons Why Mozilla Firefox Is Safe Compared To Internet Explorer).

Mozilla libera 2º RC do Firefox 3.6

Uma semana após lançar a 1º versão Release Candidate do Firefox 3.6, a fundação Mozilla liberou para download a segunda versão RC do browser.

O update traz basicamente melhorias de estabilidade e correção de falhas reportadas por cerca 1,2 milhão de usuários que baixaram o primeiro release candidate e o estão testando.

A versão final do browser deve ser liberada até o final de Janeiro e um patch com códigos que melhoram a performance e estabilidade do navegador será apresentado até Março.

Pelas contas da fundação, o Firefox 3.6 é em média 30% mais rápido para carregar páginas da internet e processar códigos em JavaScript.

Clique aqui para baixar a 2º versão RC do Firefox 3.6.

Falha no IE abriu brecha para ataques ao Google e mais 33 empresas

Em comunicado no blog da Microsoft nesta quinta-feira, dia 14, o CSO (Chief Security Officer) Mike Reavey, admitiu que uma falha crítica no Internet Explorer pode ter sido um dos mecanismos do ataque ao Google e mais 33 empresas. Segundo o CTO (Chief Technical Officer) da McAfee, George Kurtz, a falha no navegador, até então desconhecida, foi apenas um dos vetores, que utilizou links e arquivos maliciosos em e-mails e mensagens instantâneas.

“Baseado nas nossas investigações sobre os ataques, junto com outras empresas, descobrimos recentemente que uma vulnerabilidade no Internet Explorer parece ser um dos diversos mecanismos de ataque usados contra diversas companhias. Até o momento, não temos indicação de que a rede corporativa da Microsoft ou nossos serviços de e-mail tenham sido alvo do ataque, escreveu Reavey, diretor do Microsoft Security Response.

De acordo com o Google, os ataques vieram da China e tiveram como alvo mais de 20 empresas de tecnologia, internet e finanças. O Google removeu a censura nas buscas de páginas do Google.cn e ameaça fechar o seu escritório no país.

A MS informou que suas equipes estão empenhadas desenvolvendo uma hotfix (atualização de segurança) para proteger os usuários.

Circulou um boato de que documentos PDFs alterados faziam parte da estratégia do ataque, mas segundo a McAfee, “não há evidencias que indicam o uso do Adobe Reader ou de qualquer outra ferramenta da empresa no roubo de dados”.

Na última semana, a própria Adobe confirmou que sofreu o mesmo tipo de ataque aos seus sistemas. O Google culpa o governo chinês pela invasão e roubo de dados no Gmail.

Por isso digo e repito: USEM FIREFOX!

Mozilla libera versão RC do Firefox 3.6

A Mozilla lançou nesta semana para download a primeira versão Release Candidate do Firefox 3.6. Os usuários podem baixar a nova atualização a partir do site da desenvolvedora ou esperar pelo update automático do browser.

O RC1 ganhou um motor que possibilitará ao usuário, por exemplo, carregar diversas fotos de forma mais rápida, ou até mesmo melhorar o desempenho de JavaScript. O navegador também aperfeiçoa o sistema de caixas de texto e agora avisa sobre a atualização de plugins.

A versão final 3.6 do Firefox deve chegar aos usuários no segundo trimestre de 2010. Para baixar o RC nas versões Windows, Mac ou Linux, clique AQUI.

Semana passada, a fundação Mozilla liberou uma atualização para as versões 3.5.7 e 3.0.17. Mais detalhes, acesse aqui.

%d blogueiros gostam disto: