• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

Ridelight

Novo estudo aponta falha comum em segurança dos principais browsers

2 mensagens neste tópico

Protocolo URI, que motivou discussão entre Mozilla e MS, pode ser usado para ataques mesmo sem falhar de segurança em browsers

Os pesquisadores de segurança Billy Rios e Nathan McFeters afirmaram ter descoberto uma nova maneira pela qual a tecnologia que lida com o protocolo Uniform Resource Identifier (URI), usada pelo Windows para ativar programas pelo navegador, pode ser usada para roubar dados da vítima.

Bugs do tipo se tornaram um tópico em discussão pelo último mês, desde que o pesquisador Thor Larholm demonstrou como um browser pode ser enganado para enviar informações maliciosas para o Firefox usando o método. O bug permitia que crackers rodassem malware no PC da vítima.

Agora, a dupla demonstrou como crackers podem usar para fins maliciosos funções legítimas do software que é ativado pelo protocolo URI, algo conhecido como "exploração baseado em funcionalidade".

Os resultados iniciais mostram que pode haver diversos caminhos para tal.

Mesmo que não divulguem o nome da companhia responsável pelo programa, os pesquisadores afirmaram que encontraram uma falha importante em um popular programa que pode ser usado para roubar dados da vítima.

"É possível pelo URI para roubar conteúdo de formulários da máquina do usuário e compartilhá-lo para servidores remotos", afirmou McFeters, conselheiro de segurança da Ernst & Young. "Isto tudo é possível apenas pelas funcionalidades oferecidas pelo programa".

A dupla pretende divulgar os resultados de seus estudos após o fabricante conserte o problema, mas este pode ser o começo de novos problemas com a tecnologia que está começando a ser destrinchada por profissionais de segurança.

O protocolo é usado para que serviço inicie aplicativos dentro do micro do usuário com um simples clique de botão. Ao tentar comprar uma canção no site da Apple, a página envia um pedido à máquina do PC para que o software iTunes seja aberto sem que o usuário saia do site.

O Firefox, por exemplo, usa o protocolo "FirefoxURL" para que usuários possam iniciar o browser fora do Internet Explorer, da Microsoft, o que acarretou trocas de acusações entre ambas sobre a responsabilidade da falha.

A Mozilla inicialmente imaginou que o bug descrito por Larholm precisava do IE para ser iniciado, mas a suposição se mostrou errada, e, duas semanas depois, o time do Firefox foi forçado a corrigir o problema.

"Caso uma organização como a Mozilla está tendo problemas em entender como o URI aumenta o escopo dos ataques em seus aplicativos, pense então como é difícil para uma pequena desenvolvedora", afirma McFeters.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

A noticia não está correcta em um detalhe. A noticia leva a querer que inicialmente a equipa do Firefox negou ser o ponto de entrada da falha. Quando o que se passou, foi que isso não foi posto como hipótese por NINGUÉM.

O que acontece é que inicialmente só se pensava que o ie tinha que ser o ponto de entrada para a exploração da falha, porque este não validava os dados que enviava, e depois o Firefox, não estava a validar correctamente os dados que recebia

A equipa do Firefox, corrigiu a falha de validação de dados. A m$ recusou-se a corrigir a situação do seu lado, apesár de hipotéticamente isto poder provocar mais problemas em outras aplicações, que não o Firefox. Mais tarde a equipa do Firefox descobriu que também o Firefox não estava a validar os dados que enviava e por isso também o Firefox poderia ser utilizado como ponto de entrada, e a equipa do Firefox corrigiu isso.

É mais uma clara demonstração de onde está a atitude correcta no que toca a segurança.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora