Vulnerabilidade atinge o Firefox 2 e IE7

zaire

Membro
O especialista em segurança Robert Chapin descobriu uma falha que permite que hackers coletem nomes de usuário e senha através de formulários de login falsos.

A falha que foi apelidada de "Reverse Cross-site Request", ou RCSR, pode ser explorada tanto no navegador Firefox 2, da Fundação Mozilla, quanto no Internet Explorer 7, da Microsoft, e usa os dados salvos de login e senha nos programas para preencher automaticamente os formulários falsos, enviando assim os dados para um hacker.

O Internet Explorer 7 não preencherá automaticamente os campos, a menos que o RCSR apareça na mesma página que o formulário autêntico. Mas, no Firefox 2 o problema parece ser maior, já que o Gerenciador de Senhas preencherá qualquer senha salva e seu nome de usuário nos formulários.

O RCSR já começou a ser explorado na comunidade virtual MySpace.com e, segundo Chapin, pode ser reproduzido também em blogs ou fóruns que permitam o preenchimento de códigos HTML. "Usuários tanto do Firefox quanto do Internet Explorer precisam estar cientes de que suas informações podem ser roubadas desta forma quando visitarem blogs e fóruns em endereços confiáveis", explicou.

A firma de segurança Netcraft, que descobriu a exploração da falha no MySpace, disse que a página falsa de login estava hospedada dentro dos servidores da própria companhia. Pelo fato de estar hospedada no servidor oficial, e não trazer qualquer sinal de conteúdo externo, a página pode convencer o usuário a enviar novamente seus dados, desta vez para um hacker.

Para Chapin, os ataques RCSR podem ser mais bem sucedidos que os ataques XSS (de Cross-site Scripting), porque o Internet Explorer e o Firefox não verificam o destino dos dados enviados através de formulário antes que a transferência comece a ser feita, e o navegador não notifica de perigo, porque tudo está sendo feito de dentro de um endereço confiável.

A Fundação Mozilla já trabalha em uma saída para o problema na versão Firefox 2, mas ainda não se sabe se as versões anteriores também são afetadas. Como medida de segurança, é recomendado desativar o recurso para memorizar senhas de sites, que pode ser encontrado no menu Ferramentas > Opções > Segurança.

O RCSR poderia ser explorado, inclusive, sem que o formulário aparecesse. Em uma demonstração, após os dados salvos no Gerenciador de senhas, foi possível transmiti-los por um link em uma imagem invisível.

Chapin afirma que já notificou a Microsoft a respeito do problema, e a companhia respondeu dizendo que já estava ciente da falha, mas que por políticas internas não poderia comentar a respeito de investigações em andamento.

Source: http://www.geek.com.br/modules/noticias/ver.php?id=3858&sec=5

Save us...
Já nem no firefox estamos seguros...:'(
 
Até o IE já é mais "seguro" que o Firefox ao menos quer dizer que eles evoluiram um bocado, já que o problema é maior no firefox que no IE.
 
Guardar passwords no browser? LOL

Quantas pessoas o fazem? Facilita bastante a vida a algumas pessoas, claro que falo em computadores pessoais. No entanto parece que não é assim tão seguro....

Só estamos seguros se nos fecharmos dentro de um quarto sem contacto com o mundo exterior :P E mesmo assim ainda podemos morrer de claustrofobia :P


Guardo algumas passwords no FF, mas passwords que realmente venham a darem-me prejuízo, nem em papel :P

abraços, HecKel
 
O meu browser tem bastantes passwords guardadas. Afinal, não vou estar sempre a inserir os logins de montes de forums, páginas com registo que frequento. Se for a supor que isso não é seguro, estou lixado...
 
Não vejo qual a questão de guardar passwords no browser ... Eu guardo, sou o único utilizador, e uso Firefox. Estas vulnerabilidades nunca dão em nada. Se dessem, não eram divulgadas ...
E as passwords realmente importantes não se anotam nem guardam, seja no browser, seja em papel, seja onde for ;) ... E o home banking nem sequer pode guardar password ...
 
Back
Topo