Total Security - totalsecurity.com.br
Novo código explora antiga falha no Firefox
Usuários que ainda não tenham migrado para a última versão do navegador Mozilla Firefox agora têm mais uma boa razão, graças a um hacker conhecido como Aviv Raff.Neste domingo (11/12), Raff publicou um modelo de código (veja aqui) que pode ser usado para assumir o controle de PCs que utilizam a versão 1.0.4 do browser ou anteriores.
O código se aproveita de um bug bastante conhecido (saiba mais) na forma que o Firefox processa a popular linguagem de programação para web Javascript.
"Acho que já houve tempo suficiente para as pessoas atualizarem a versão 1.0.4 do Firefox. Então, aqui vai a prova de conceito de como explorar a vulnerabilidade", escreveu o hacker no seu blog.
A falha foi corrigida na versão 1.0.5 do browser, lançada em julho passado, e também foi atualizada na versão 1.7.9 da Mozilla Suite, segundo Mike Schroepfer, vice-presidente de engenharia da Mozilla.
"Desde que os usuários mantenham seus PCs atualizados, em geral, estão bastante seguros", declarou o executivo.
Em alguns aspectos, este novo código é bastante similar a uma forma de ataque amplamente divulgada para o Microsoft Internet Explorer, disse Russ Cooper, editor da lista de notícias NTBugtraq e cientista da empresa de segurança Cybertrust.
"Ele permite instalar e rodar o código que o hacker escolher se a vítima visita o site com código malicioso", disse o especialista.
Segundo Cooper, usuários que não têm o hábito de atualizar seus navegadores com freqüência devem mudar de postura, já que os browsers estão "historicamente comprometidos".
"Isto quer dizer que as vulnerabilidades são regulares", acrescenta Cooper, recomendadndo o usuário a atualizar o browser a cada 30 dias, independente do tipo de patch lançado.
O código que tira vantagem de falha no IE, publicado em novembro, também explora problemas com o Javascript e não foi corrigido até agora.
A expectativa de analistas de segurança é que a correção saia nesta terça-feira (13/12).
O código se aproveita de um bug bastante conhecido (saiba mais) na forma que o Firefox processa a popular linguagem de programação para web Javascript.
"Acho que já houve tempo suficiente para as pessoas atualizarem a versão 1.0.4 do Firefox. Então, aqui vai a prova de conceito de como explorar a vulnerabilidade", escreveu o hacker no seu blog.
A falha foi corrigida na versão 1.0.5 do browser, lançada em julho passado, e também foi atualizada na versão 1.7.9 da Mozilla Suite, segundo Mike Schroepfer, vice-presidente de engenharia da Mozilla.
"Desde que os usuários mantenham seus PCs atualizados, em geral, estão bastante seguros", declarou o executivo.
Em alguns aspectos, este novo código é bastante similar a uma forma de ataque amplamente divulgada para o Microsoft Internet Explorer, disse Russ Cooper, editor da lista de notícias NTBugtraq e cientista da empresa de segurança Cybertrust.
"Ele permite instalar e rodar o código que o hacker escolher se a vítima visita o site com código malicioso", disse o especialista.
Segundo Cooper, usuários que não têm o hábito de atualizar seus navegadores com freqüência devem mudar de postura, já que os browsers estão "historicamente comprometidos".
"Isto quer dizer que as vulnerabilidades são regulares", acrescenta Cooper, recomendadndo o usuário a atualizar o browser a cada 30 dias, independente do tipo de patch lançado.
O código que tira vantagem de falha no IE, publicado em novembro, também explora problemas com o Javascript e não foi corrigido até agora.
A expectativa de analistas de segurança é que a correção saia nesta terça-feira (13/12).
Fonte:
IDG Now!
URL Fonte: http://totalsecurity.com.br/noticia/984/visualizar/
Comentários