Publicado em Sexta - 21 de Setembro de 2007 | por Luiz Celso

Hacker que descobriu bug no QuickTime alerta para falha no formato PDF

Petko Petkov alertou que os documentos Adobe Acrobat/Reader PDF podem ser usados para comprometer a caixa do Windows completamente sem que o usuário perceba.
Leia mais...

Mozilla corrige falha crítica envolvendo QuickTime no Firefox

Publicado em Quarta - 19 de Setembro de 2007 | por Luiz Celso

A Mozilla corrigiu nesta terça-feira (17/09) uma falha crítica na maneira como o navegador Firefox lida com arquivos QuickTime, distribuindo a versão 2.0.0.7 do software de código aberto.

A falha, reportada na semana passada pelo hacker conhecido como Petko Petkov, dá aos crackers uma maneira de rodar comandos não autorizados no PC da vítima. Isto pod ser usado para instalar malwares, roubar dados locais ou infectar o micro do usuário, afirmou a Mozilla em seu alerta de segurança.

Uma atualização de julho deveria ter resolvido o problema, mas Petkov demonstrou como crackers ainda podiam rodar comandos no sistema da vítima enganando o usuário a abrir um arquivo malicioso do QuickTime.

De fato, até que a Apple corrija o erro no QuickTime, ainda pode haver problemas para usuários, admitiu a Mozilla em seu alerta. Os arquivos que usam o link QuickTime Media ainda podem ser usados para atrapalhar usuários com janelas pop-up até que sejam corrigidas, afirma o alerta.

A medida comum de segurança de desabilitar o JavaScritp não previne o ataque, mesmo que o add-on NoScript Firefox ofereça proteção, afirma a Mozilla.

Petkov forneceu provas que podem ser facilmente convertidas em ameaças, para que usuários saibam que esta é uma questão muito perigosa, escreveu Window Snyder, chefe de segurança da Mozilla, em seu blog.

A falha também ataca o navegador rival Internet Explorer, afirmou Petkov. No entanto, as políticas de segurança do IE tornam a brecha menos crítica no software, acrescentou.
Leia mais...

Microsoft força usuários a atualizar Messenger por falha de segurança

Publicado em Segunda - 17 de Setembro de 2007 | por Luiz Celso

A Microsoft está forçando os usuários do Windows Live e MSN Messenger a atualizar os softwares para a versão mais recente.
Leia mais...

Pacote mensal de correções da Microsoft tirou Skype do ar, afirma empresa

Publicado em Terça - 21 de Agosto de 2007 | por Luiz Celso

A falha que deixou o serviço do Skype fora do ar por mais de 48 horas na última semana ocorreu quando milhões de usuários do Windows tentaram fazer login no sistema após baixar o pacote de atualização da Microsoft, informou o Skype nesta segunda-feira (20/08).

A empresa declarou que seu sistema pesou quando, após receber os ajustes do pacote mensal de correções da Microsoft, os computadores reiniciaram e se conectaram ao software ao mesmo tempo. Isso revelou um bug desconhecido no Skype.

Apesar de a rede do Skype ter uma função de autotratamento, o bug existente no algoritmo impediu que ele trabalhasse como esperado, de acordo com a empresa, que já introduziu alguns ajustes para ajudar a resolver o problema.

Contudo, o Skype não informou porque as atualizações mensais do Windows não causaram problemas no passado ou se a rede enfrentaria novos problemas no futuro.

“Caso estes eventos se tornem recorrentes, as pessoas começarão a abandonar o serviço”, opinou o analista sênior da Ovum, Mark Main.

O analista sênior da Jupiter Research, Ian Fogg, afirmou que o Skype precisa agir rapidamente para recuperar a confiança de seus clientes. “Empresas como o Skype precisam revisar suas pesquisas de engenharia e ter certeza de que fazem algo confiável”, declarou Fogg.
Leia mais...

Mozilla afirma que pode ajustar qualquer vulnerabilidade em dez dias

Publicado em Segunda - 06 de Agosto de 2007 | por Luiz Celso

executivo Mike Shaver, da Mozilla, declarou durante a conferência de segurança Black Hat, nos Estados Unidos, que a empresa pode ajustar qualquer vulnerabilidade crítica em seu software em dez dias. A Mozilla pretende alcançar esta meta para demonstrar seus esforços em manter a segurança de seu software.

Durante o evento, que ocorreu na semana passada, Shaver apoiou sua afirmação ao entregar seu cartão a Robert Hansen, CEO da consultoria SecTheory.com, e também proprietário do site ha.ckers.org. Hansen postou em seu site uma imagem do cartão de Shaver, junto à afirmação “Dez dias”.

A promessa dos “dez dias” de Shaver se aplica a vulnerabilidades críticas, apesar de não haver um padrão para esta classificação - cada empresa avalia os níveis de risco de formas diferentes. Outra condição imposta pela Mozilla é que a empresa seja notificada sobre a falha antes que ela seja publicada.

Muitos duvidaram se a Mozilla seria capaz de manter a promessa de Shaver. “Sempre fui fã da Mozilla e do navegador Firefox. Contudo, esta é uma afirmação bastante ousada para uma empresa de qualquer porte”, escreveu Hansen em seu site.

Outros comentários enfatizaram que não será fácil cumprir a promessa dos dez dias. As correções precisam ter alta qualidade e serem testadas apropriadamente, o que levaria mais tempo, dependendo da complexidade da vulnerabilidade, segundo o consultor de tecnologia sênior da Sophos PLC, Graham Cluley.

“Algumas vulnerabilidades críticas de segurança podem precisar de testes abrangentes para ter certeza de que um ajuste com a melhor qualidade está sendo disponibilizado aos usuários”, declarou Cluley.

Contudo, outros demonstraram maior confiança na afirmação de Shaver. “Roma não foi construída em um dia, mas o Firefox não é a Roma”, dizia um comentário no blog de Hansen. “E a Mozilla terá dez dias inteiros. Coloque 20 geeks em frente ao computador por este período e apenas os observe trabalhar.”

A Mozilla atualizou o Firefox duas vezes em julho. A última, divulgada no dia 30/07, ajustou dois problemas que a empresa classificou como críticos - mas foram necessárias duas semanas para os pesquisadores de segurança lançarem o ajuste após a brecha ter sido divulgada.

Ajustes mais rápidos ajudariam a Mozilla a ganhar mais espaço no mercado de navegadores caso os usuários sintam que o Firefox é a opção mais segura para navegar na web. O navegador possui uma fatia de 27,8% no mercado Europeu, mas apenas 18,7% na América do Norte, de acordo com estatísticas da XiTiMonitor.
Leia mais...

Ataque antigo contra browsers ressurge ameaçando firewalls corporativos

Publicado em Quinta - 02 de Agosto de 2007 | por Luiz Celso

Um antigo ataque contra navegadores que imaginava-se estar morto voltou, de acordo com pesquisadores de segurança na conferência Black Hat, em Las Vegas.

Dan Kaminsky, diretor de testes da OI Active, mostrou como problemas na maneira como navegadores lidam com pedidos de nomes de domínios pode ser explorada para dar aos crackers acesso a qualquer recurso por trás do firewall corporativo.

Ele descreveu um ataque em múltiplos passos que poderia ser usado para rastrear uma rede corporativa por dados ou brechas.

Mas no coração do ataque está um artigo escrito em 1996 por pesquisadores de Princeton mostrando como um applet em Java poderia ser usado para acessar sistemas na rede da vítima.

No cenário descrito por Kaminsky, o cracker precisaria um servidor proxy que enviaria dados para o navegador, usando o reprodutor de arquivos Flash, da Adobe, para enganar o navegador em navegar no conteúdo externo caso esteja em uma rede corporativa.

O problema fundamental, de acordo com Kaminsky, está na maneira como o navegador decide como confiar em outros PCs. A decisão é baseada no domínio do PC, e a informação DNS pode ser forjada, afirma ele.

A máquina confira que o valor é constante, mas o cracker pode mudá-lo quando quiser, explica.

No ano passado, pesquisadores de segurança como Kaminsky se tornaram ainda mais alertas sobre como as falhas no modelo de segurança de aplicativos poderia ser usada por crackers.

O pesquisador descreveu ainda como um site malicioso pode interagir com um navegador e, segundo uma complexa cadeia de pedidos de dados, ganhar acesso a outros recursos na rede da vítima.

Crackers poderiam ter acesso a qualquer recurso disponível na máquina da vítima que rode o navegador, afirma.

Ele planeja publicar mais detalhes sobre o ataque revelado no seu site Doxpara no final da semana.
Leia mais...

Atualização de segurança do iPhone apaga modificações no firmware

Publicado em Quarta - 01 de Agosto de 2007 | por Luiz Celso

Além de corrigir brecha crítica de segurança no Safari, pacote verifica firmware do aparelho e, caso encontre alterações, o formata

Uma atualização de segurança para o iPhone, da Apple, faz mais do que simplesmente corrigir falhas críticas de segurança no aparelho.

O pacote também desfaz qualquer alteração que usuários fizeram no firmware, de acordo com hackers que procuram destravar o telefone.

A atualização, porém, não prejudica nenhuma das ferramentas que os hackers desenvolveram até agora para modificar o firmware do iPhone, afirmaram eles.

A atualização iPhone v1.0.1 corrige inicialmente uma falha de segurança descoberta no navegador Safari da empresa que foi detalhada na quinta-feira (25/07) na conferência Black Hat 2007, em Las Vegas.

A vulnerabilidade, descoberta por pesquisadores da Independent Security Evaluators (ISE), permite que crackers acessem dados e aplicativos do telefone a partir de uma rede sem fio ou um site malicioso.

Quando a atualização se instala pelo iTunes, também verifica mudanças que foram feitas no firmware do aparelho. Ao detectar tais mudanças, o pacote formata o firmware inicial do telefone e instala sua versão atualizada, apagando qualquer modificação feita.

Nesta quarta-feira (01/08), hackers envolvidos no desbloqueio do iPhone dentro de um canal de IRC ainda debatiam os impactos da atualização de segurança da Apple, afirmando que as ferramentas desenvolvidas continuam a funcionar normalmente.

Inicialmente, a atualização parecia bloquear a habilidade para escrever arquivos no iPhone usando a função Jailbreak na ferramenta iActivation desenvolvida por hackers, o que impossibilitaria a função de adicionar ringtones ao aparelho.

Ao contrário do termo dos hackers, porém, a versão 1.0 do Jailbreak continua
funcionando, segundo atualização no iPhone Dev Wiki.
Leia mais...

Depois de discussão, Mozilla admite que tem mesma falha que IE

Publicado em Quinta - 26 de Julho de 2007 | por Luiz Celso

Uma brecha descoberta pelo pesquisador Thor Larholm gerou discussão entre programadores da Microsoft e da Mozilla. Larholm afirmava ter encontrado uma brecha no Internet Explorer que permitia que um link malicioso executasse o Firefox de tal forma que um invasor poderia comprometer o sistema. A Microsoft afirmou que o problema era do Firefox e não do Internet Explorer. Mas outro pesquisador revelou que o Firefox possui o mesmo “problema” que o Internet Explorer, e a Mozilla confirmou esta informação na segunda-feira (23/06).

Larholm revelou informações sobre a falha no dia 10 de julho. O problema, de acordo com ele, estaria no fato de que o Internet Explorer não codifica as aspas em uma URL que é passada para outro programa configurado como Protocol Handler. Isto permite que um link malicioso, ao ser clicado, adicione parâmetros perigosos ao programa que será executado. Larholm demonstra o problema usando o protocolo “firefoxURL://”, que pertence ao Firefox.

A Microsoft respondeu dizendo que o problema é do Firefox e não do Internet Explorer. A Mozilla, por sua vez, disse que é um problema no Internet Explorer, já que este não estaria codificando corretamente as URLs passadas aos programas. Mesmo assim, a Mozilla começou a trabalhar em uma correção para o Firefox.

O Firefox 2.0.0.5 foi lançado para corrigir a brecha. No boletim de segurança. a Mozilla dizia que a atualização “não corrigia a falha crítica do Internet Explorer” e que o uso do Firefox era recomendado para que usuários navegassem na web com segurança.

No dia 20, o pesquisador de segurança especialista em Windows Jesper Johansson publicou um post em seu blog demonstrando que o Firefox possui a mesma falha “crítica” que a Mozilla dizia somente existir no Internet Explorer.

A Fundação Mozilla confirmou as descobertas de Johansson, admitindo que o Firefox sofre do mesmo problema que ela havia criticado a Microsoft por não corrigir. Johansson, no entanto, não acredita que isto é um problema. Ele acha que os navegadores não devem codificar as aspas e pensa que a melhor maneira é deixar que os próprios protocol handlers gerenciem os comandos e URLs que receberem.
Problema é conhecido desde junho

Apesar de Larholm ter tornado público o erro no dia 10 de julho, um boletim da iDefense, publicado no dia 19, mostra que a Mozilla e a Microsoft foram avisadas do problema no dia 13 de junho. Greg MacManus teria descoberto a falha de forma independente para a iDefense.

Apenas depois de um mês da notificação da iDefense, no dia 17 deste mês, a Microsoft atualizou a página de documentação de protocol handlers, enfatizando a necessidade de cuidados de segurança.

Em uma nota no blog oficial do Internet Explorer, o Gerente de Produto Markellos Diorinos diz que é muito difícil proteger usuários de tecnologias de extensão — como é o caso dos handlers –, pois o número de aplicativos e protocolos “não tem limite”.

Diorinos explicou que o Internet Explorer, no Modo Protegido (Win2003/Vista), dá uma proteção adicional ao exibir um alerta aos usuários dizendo que um aplicativo externo será lançado (o que o Firefox também faz). De acordo com ele, é possível compreender que, no entendimento da Microsoft, mesmo uma alteração na codificação das aspas pode não ser suficiente para evitar que dados maliciosos sejam enviados a aplicativos externos.

A Mozilla, por outro lado, está investigando soluções para o problema, aparentemente insistindo na posição de que o navegador web deve enviar os endereços já codificados aos aplicativos externos.
Padronização pode ser a solução

Uma solução para este caso, como sugere o site heise Security, seria um diálogo entre a Microsoft e a Mozilla, que atualmente desenvolvem os navegadores mais comuns do mercado, para decidir qual seria a melhor saída: filtrar as aspas e seguir as normas que regem os formatos de URL, ou continuar com o comportamento atual, que a Microsoft diz estar “documentado”.

Na semana passada, um pesquisador de segurança demonstrou falhas semelhantes no Trillian e outros programas que se registram como responsáveis por protocolos podem ter brechas semelhantes. Se os navegadores não admitirem uma única maneira para efetuar o processamento de links que referenciam aplicativos externos, novos problemas de segurança, ou incompatibilidades, podem ocorrer.

Com esta discordância, quem perde são os usuários.
Leia mais...

Opera e Mozilla corrigem falhas de segurança em navegadores

Publicado em Sábado - 21 de Julho de 2007 | por Luiz Celso

A Opera Software e a Mozilla Foundation lançaram novas versões de seus navegadores, Opera e Firefox, nos dias 19 e 18 de julho, respectivamente. Uma nova versão do Thunderbird, também da Mozilla, foi lançada ontem (20/07) para corrigir algumas das mesmas falhas de segurança encontradas no navegador. As atualizações possuem melhorias de estabilidade e corrigem falhas críticas de segurança, sendo recomendadas a todos os usuários destes programas.

O Opera 9.22, lançado na quinta-feira (19), corrige pelo menos 3 brechas e faz outras 3 modificações relacionadas à segurança. A vulnerabilidade mais grave depende de interação do usuário e se encontra no gerenciador de downloads do navegador, que causa um erro de memória quando um arquivo torrent especialmente criado para explorar o problema é removido da lista de arquivos baixados.

O novo Firefox 2.0.0.5 é acompanhado por 8 boletins de segurança, sendo que três deles receberam uma classificação de severidade “crítica”, outros dois ficaram com severidade alta, um com severidade “moderada” e os últimos dois com severidade baixa. Uma das brechas corrigidas é polêmica, pois só pode ser explorada por internautas que estiverem usando o Internet Explorer com o Firefox instalado, o que gerou uma discussão sobre quem é responsável pelo problema, a Microsoft ou a Mozilla.

Dos 8 boletins que acompanharam o Firefox, apenas 2 valem para o Thunderbird 2.0.0.5. Um deles refere-se a mesma brecha que só pode ser explorada pelo Internet Explorer, enquanto outro boletim, considerado crítico, corrige vários problemas que podem resultar em corrupção de memória e que, por isso, são potenciais falhas de segurança.

O SeaMonkey, projeto da Mozilla que integra cliente de e-mail e navegador web, foi atualizado para corrigir as mesmas falhas. A versão 1.1.3 foi lançada no dia 19.
Leia mais...

Sun corrige falha crítica no Java

Publicado em Terça - 17 de Julho de 2007 | por Luiz Celso

A Sun Microsystems liberou uma atualização crítica para a versão de consumo do software Java, poucos dias após o sistema de correões do Java ser criticado por um pesquisador de segurança.

A Java Platform Standard Edition (SE) versão 6, update 2, está disponível no site da Sun desde sexta-feira (13/07) e está sendo entregue aos usuários que usam o sistema de atualização automática, disse a porta-voz Jacki Decoster.

A Sun suporta quatro versões diferentes do Java SE para desktops, e a companhia já havia corrigido versões anteriores antes de lançar a versão 6, update 2, que é a mais atual para usuários finais.

A decisão preocupou a fornecedora de segurança eEye Digital Security, que disse que os crackers poderiam achar uma forma de explorar a falha por meio de engenharia reversa das correções liberadas para as outras edições.

A eEye descobriu a falha em janeiro. É uma falha crítica no Java Network Launching Protocol, usado para rodar programas em Java na web. Crackers podem explorar a falha criando um site malicioso e instalando softwares em qualquer PC com Java que visitar o site, diz a empresa de segurança.
Leia mais...