MS não vai barrar pop-up falso no IE

Richar_cooper

Richar_cooper

Power Member
Todos os principais browsers do mercado apresentam uma vulnerabilidade que permite o roubo de senhas e outras informações do usuário. Os produtores de browsers como Firefox e Opera estão cuidando do problema. A Microsoft diz que a brecha é uma função normal.

O alerta sobre essa falha foi publicado pela empresa de segurança Secunia. Segundo ela, janelas pop-up criadas em JavaScript podem ser usadas por programadores mal-intencionados para exibir num site caixas de diálogo associadas a outro site. Assim, o usuário pode fornecer dados pessoais a desconhecidos.

A Secunia explica como funciona esse tipo de phishing. O internauta visita um site malicioso que exibe um link para um endereço confiável. Ele clica no link, a página legítima se abre e, segundos depois, aparece a caixa de diálogo, que parece associada a essa página. Na verdade, o pop-up -- que não dá indicação de sua origem -- está ligado ao site malicioso.

A revelação do problema motivou uma resposta da Microsoft, publicada no site TechNet. Para a Microsoft, trata-se de “um exemplo de como um recurso-padrão do browser pode ser usado em tentativas de phishing”. Isso indica que a empresa não pretende corrigir a brecha. A Opera, que produz o browser homônimo, e a fundação Mozilla, que faz o Firefox, já tomaram providências quanto a problemas desse tipo.



Sem comentarios mais um tiro pe!

Fonte


:lol: riam a vontade!
 
Última edição:
Richar_cooper disse:
A revelação do problema motivou uma resposta da Microsoft, publicada no site TechNet. Para a Microsoft, trata-se de “um exemplo de como um recurso-padrão do browser pode ser usado em tentativas de phishing”. Isso indica que a empresa não pretende corrigir a brecha. A Opera, que produz o browser homônimo, e a fundação Mozilla, que faz o Firefox, já tomaram providências quanto a problemas desse tipo.
Clicar para expandir...

Isso indica absolutamente nada!

como é que o comentário da MS ao problema pode levar alguém a fazer juizos que a empresa não pretende corrigir a brecha?!?!

o jornalismo e a imprensa são muito fraquinhos.... pede-se rigor!
 
atomic disse:
Isso indica absolutamente nada!

como é que o comentário da MS ao problema pode levar alguém a fazer juizos que a empresa não pretende corrigir a brecha?!?!

o jornalismo e a imprensa são muito fraquinhos.... pede-se rigor!
Clicar para expandir...


A falta de rigor nessa noticia foi não ter colocado o link para o artigo original na technet, porque a noticia está correcta. Não vai haver patch.

Microsoft has investigated a public report of a phishing method that affects Web browsers in general, including Internet Explorer.

The report describes the scenario of multiple, overlapping browser windows, some of which contain no indications of their origin. An attacker could arrange windows in such a way as to trick users into thinking that an unidentified dialog or pop-up window is trustworthy when it is in fact fraudulent. When a user visits a malicious Web site the user may be redirected to a trusted Web site. The attacker could then display an overlapping window in the form of a dialog box attempting a phishing attack. The user is then prompted to input personal information into this dialog box, which was opened from the malicious Web site. The user might believe that this dialog box was opened by the trusted Web site and they might input personal information. However, this information is sent to the malicious Web site.

Customers who already follow our general guidance about avoiding spoofing and phishing attacks are at reduced risk of being affected by this issue. If a particular window or dialog box does not have an address bar and does not have a lock icon that can be used to verify the site’s certificate, the user is not provided with enough information on which to base a valid trust decision about the window or dialog box. To view Microsoft’s general guidance about how to avoid spoofing attacks visit the Security at Home Web site.

We continue to encourage customers install Windows XP SP2 and to follow our Protect Your PC guidance of enabling a firewall. This includes turning on Automatic Updates to receive software updates and installing anti virus software. For more information visit the Protect Your PC Web site.

Customers who believe they may have been affected by this phishing method can contact Product Support Services. You can contact Product Support Services in North America at no charge using the PC Safety line (1866-PCSAFETY). International customers can contact Product Support Services by using one of the available methods found at the Microsoft Security Help and Support for Home Users Web site.


--------------------------------


Purpose of Advisory: To clarify the risks associated with browser windows without indications of their origins and provide guidance on how to help prevent identity theft from phishing scams.

Advisory Status: Advisory Published, No Security Update Planned.

Recommendation: Review the suggested actions and configure as appropriate.


--------------------------------


Will Microsoft issue a security update to address this threat?
No. This is an example of how current standard Web browser functionality could be used in phishing attempts.
Clicar para expandir...

http://www.microsoft.com/technet/security/advisory/902333.mspx

Se a Microsoft está correcta ou não em não lançar o patch, é outra questão.
 
Última edição:
Nemesis11 disse:
A falta de rigor nessa noticia foi não ter colocado o link para o artigo original na technet, porque a noticia está correcta. Não vai haver patch.



Se a Microsoft está correcta ou não em não lançar o patch, é outra questão.
Clicar para expandir...

não sei se acredito, vamos esperar para ver
 
atomic disse:
não sei se acredito, vamos esperar para ver
Clicar para expandir...

O que há para não acreditar? É um artigo do technet.

A microsoft considera que o que foi demonstrado (overlapping windows) faz parte da funcionalidade do browser e que os users devem ver ler o artigo sobre "phishing" para evitar problemas( http://www.microsoft.com/phishing/ ).

A MS pode mudar de ideias, mas depois do artigo estar publicado no technet, eu esperava sentado.
 
Última edição:
Por algumas vezes na vida eu concordei com a M$. Olha aqui uma delas...

Sinceramente, eu se quero ir a um site, escrevo a porra do url. Tásse mesmo a ver que vou clickar no link de um site qqr para ir para o site do banco e coisas afins...

É que é mesmo já a seguir...

A M$ neste ponto tem razão. Os users que parem de querer ser mentecaptos e passem a abrir os olhinhos.

Código: 
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Frameset//EN" "http://www.w3.org/TR/html4/frameset.dtd">
<html>
<head>
<title>Untitled Document</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<frameset rows="80,*" frameborder="NO" border="0" framespacing="0">
<frame src="phisherbanner.htm" scrolling="NO" noresize >
<frame src="http://www.omeubanco.com" style="margin : 0 auto;">
</frameset>
<noframes>
<body style="width : 100%;">
</body>
</noframes>
</html>

Metam um banner sóbrio na primeira frame com um "aviso" de "mudar a password por questão de segurança". Metam a primeira página de um site de um banco na 2a frame. Voila. Um phishing attack mais que básico, feito em 10s, e que provavelmente consegue tantas vitimas como o do post...

O problema do phishing raramente foi (até agora pelo menos) um problema de segurança da aplicação. É sim um problema de falta de capacidade mental do user.
 
E pelo menos o Firefox tem o mesmo comportamento que o IE no teste da Secunia.

O proprio site explica que para tal acontecer é precisto primeiro estar num site que não seja de confiança e logo aí começa o problema.

dialogorigin9ml.jpg


http://secunia.com/multiple_browsers_dialog_origin_vulnerability_test/
 
Mas isso não resolve o problema ou resolve?

Nem toda a gente tem a destreza informática para distinguir estas coisas, se a microsoft faz SO's para mentecaptos o browser devia seguir o mesmo caminho não?
 
Se não têm, não usem, a gerência agradece...

Melhor dizendo, isto é a velha história do automóvel e do frigorifico. Tu compras um automovél, mas sem tirares a carta muito provavelmente vais-te estampar. Tu compras um frigorifico,e mesmo sem ler o manual, podes ligá-lo á corrente e esperar que funcione. Lamentavelmente, a maioria das pessoas pensa que um computador é um frigorifico e não um automóvel.

Digam o que quiserem, mas 70% do ppl que usa computadores não tem cérebro que chegue nem pra usar uma calculadora.

Logo, desculpa lá se não tenho peninha destas bestas que não têm outro nome. Lamento dizer mas nos 12 anos que trabalho nesta m***a, cada vez apanho com users mais imbecis. Parece que o o QI é contrário á inflação. Um sobe o outro baixa, e acontece todos os anos...

Alias, se reparares bem, phishing insere-se na categoria bem vasta de "engenharia social" aka vigarice aka enganar otários.
 
ShadeX disse:
Se não têm, não usem, a gerência agradece...

Melhor dizendo, isto é a velha história do automóvel e do frigorifico. Tu compras um automovél, mas sem tirares a carta muito provavelmente vais-te estampar. Tu compras um frigorifico,e mesmo sem ler o manual, podes ligá-lo á corrente e esperar que funcione. Lamentavelmente, a maioria das pessoas pensa que um computador é um frigorifico e não um automóvel.

Digam o que quiserem, mas 70% do ppl que usa computadores não tem cérebro que chegue nem pra usar uma calculadora.

Logo, desculpa lá se não tenho peninha destas bestas que não têm outro nome. Lamento dizer mas nos 12 anos que trabalho nesta m***a, cada vez apanho com users mais imbecis. Parece que o o QI é contrário á inflação. Um sobe o outro baixa, e acontece todos os anos...

Alias, se reparares bem, phishing insere-se na categoria bem vasta de "engenharia social" aka vigarice aka enganar otários.
Clicar para expandir...

uuuuuuuuuuuuuuiiiiiiiiiiiiiiiii
on fire! :004:
 
Inicie sessão ou registe-se para poder participar.
Back
Topo