Total Security - totalsecurity.com.br
Bugs
Quinta - 26 de Julho de 2007 às 06:17
Por: Luiz Celso

    Imprimir


Uma brecha descoberta pelo pesquisador Thor Larholm gerou discussão entre programadores da Microsoft e da Mozilla. Larholm afirmava ter encontrado uma brecha no Internet Explorer que permitia que um link malicioso executasse o Firefox de tal forma que um invasor poderia comprometer o sistema. A Microsoft afirmou que o problema era do Firefox e não do Internet Explorer. Mas outro pesquisador revelou que o Firefox possui o mesmo “problema” que o Internet Explorer, e a Mozilla confirmou esta informação na segunda-feira (23/06).

Larholm revelou informações sobre a falha no dia 10 de julho. O problema, de acordo com ele, estaria no fato de que o Internet Explorer não codifica as aspas em uma URL que é passada para outro programa configurado como Protocol Handler. Isto permite que um link malicioso, ao ser clicado, adicione parâmetros perigosos ao programa que será executado. Larholm demonstra o problema usando o protocolo “firefoxURL://”, que pertence ao Firefox.

A Microsoft respondeu dizendo que o problema é do Firefox e não do Internet Explorer. A Mozilla, por sua vez, disse que é um problema no Internet Explorer, já que este não estaria codificando corretamente as URLs passadas aos programas. Mesmo assim, a Mozilla começou a trabalhar em uma correção para o Firefox.

O Firefox 2.0.0.5 foi lançado para corrigir a brecha. No boletim de segurança. a Mozilla dizia que a atualização “não corrigia a falha crítica do Internet Explorer” e que o uso do Firefox era recomendado para que usuários navegassem na web com segurança.

No dia 20, o pesquisador de segurança especialista em Windows Jesper Johansson publicou um post em seu blog demonstrando que o Firefox possui a mesma falha “crítica” que a Mozilla dizia somente existir no Internet Explorer.

A Fundação Mozilla confirmou as descobertas de Johansson, admitindo que o Firefox sofre do mesmo problema que ela havia criticado a Microsoft por não corrigir. Johansson, no entanto, não acredita que isto é um problema. Ele acha que os navegadores não devem codificar as aspas e pensa que a melhor maneira é deixar que os próprios protocol handlers gerenciem os comandos e URLs que receberem.
Problema é conhecido desde junho

Apesar de Larholm ter tornado público o erro no dia 10 de julho, um boletim da iDefense, publicado no dia 19, mostra que a Mozilla e a Microsoft foram avisadas do problema no dia 13 de junho. Greg MacManus teria descoberto a falha de forma independente para a iDefense.

Apenas depois de um mês da notificação da iDefense, no dia 17 deste mês, a Microsoft atualizou a página de documentação de protocol handlers, enfatizando a necessidade de cuidados de segurança.

Em uma nota no blog oficial do Internet Explorer, o Gerente de Produto Markellos Diorinos diz que é muito difícil proteger usuários de tecnologias de extensão — como é o caso dos handlers –, pois o número de aplicativos e protocolos “não tem limite”.

Diorinos explicou que o Internet Explorer, no Modo Protegido (Win2003/Vista), dá uma proteção adicional ao exibir um alerta aos usuários dizendo que um aplicativo externo será lançado (o que o Firefox também faz). De acordo com ele, é possível compreender que, no entendimento da Microsoft, mesmo uma alteração na codificação das aspas pode não ser suficiente para evitar que dados maliciosos sejam enviados a aplicativos externos.

A Mozilla, por outro lado, está investigando soluções para o problema, aparentemente insistindo na posição de que o navegador web deve enviar os endereços já codificados aos aplicativos externos.
Padronização pode ser a solução

Uma solução para este caso, como sugere o site heise Security, seria um diálogo entre a Microsoft e a Mozilla, que atualmente desenvolvem os navegadores mais comuns do mercado, para decidir qual seria a melhor saída: filtrar as aspas e seguir as normas que regem os formatos de URL, ou continuar com o comportamento atual, que a Microsoft diz estar “documentado”.

Na semana passada, um pesquisador de segurança demonstrou falhas semelhantes no Trillian e outros programas que se registram como responsáveis por protocolos podem ter brechas semelhantes. Se os navegadores não admitirem uma única maneira para efetuar o processamento de links que referenciam aplicativos externos, novos problemas de segurança, ou incompatibilidades, podem ocorrer.

Com esta discordância, quem perde são os usuários.


Fonte: Linha Defensiva




Comentários

Deixe seu Comentário

URL Fonte: http://totalsecurity.com.br/noticia/1936/visualizar/