1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.
  2. A secção Microsoft/Windows encontra-se actualmente em processo de reestruturação.
    Remover anúncio

Vulnerabilidade atinge o Firefox 2 e IE7

Discussão em 'Windows Desktop e Surface' iniciada por zaire, 28 de Novembro de 2006. (Respostas: 7; Visualizações: 1170)

  1. O especialista em segurança Robert Chapin descobriu uma falha que permite que hackers coletem nomes de usuário e senha através de formulários de login falsos.

    A falha que foi apelidada de "Reverse Cross-site Request", ou RCSR, pode ser explorada tanto no navegador Firefox 2, da Fundação Mozilla, quanto no Internet Explorer 7, da Microsoft, e usa os dados salvos de login e senha nos programas para preencher automaticamente os formulários falsos, enviando assim os dados para um hacker.

    O Internet Explorer 7 não preencherá automaticamente os campos, a menos que o RCSR apareça na mesma página que o formulário autêntico. Mas, no Firefox 2 o problema parece ser maior, já que o Gerenciador de Senhas preencherá qualquer senha salva e seu nome de usuário nos formulários.

    O RCSR já começou a ser explorado na comunidade virtual MySpace.com e, segundo Chapin, pode ser reproduzido também em blogs ou fóruns que permitam o preenchimento de códigos HTML. "Usuários tanto do Firefox quanto do Internet Explorer precisam estar cientes de que suas informações podem ser roubadas desta forma quando visitarem blogs e fóruns em endereços confiáveis", explicou.

    A firma de segurança Netcraft, que descobriu a exploração da falha no MySpace, disse que a página falsa de login estava hospedada dentro dos servidores da própria companhia. Pelo fato de estar hospedada no servidor oficial, e não trazer qualquer sinal de conteúdo externo, a página pode convencer o usuário a enviar novamente seus dados, desta vez para um hacker.

    Para Chapin, os ataques RCSR podem ser mais bem sucedidos que os ataques XSS (de Cross-site Scripting), porque o Internet Explorer e o Firefox não verificam o destino dos dados enviados através de formulário antes que a transferência comece a ser feita, e o navegador não notifica de perigo, porque tudo está sendo feito de dentro de um endereço confiável.

    A Fundação Mozilla já trabalha em uma saída para o problema na versão Firefox 2, mas ainda não se sabe se as versões anteriores também são afetadas. Como medida de segurança, é recomendado desativar o recurso para memorizar senhas de sites, que pode ser encontrado no menu Ferramentas > Opções > Segurança.

    O RCSR poderia ser explorado, inclusive, sem que o formulário aparecesse. Em uma demonstração, após os dados salvos no Gerenciador de senhas, foi possível transmiti-los por um link em uma imagem invisível.

    Chapin afirma que já notificou a Microsoft a respeito do problema, e a companhia respondeu dizendo que já estava ciente da falha, mas que por políticas internas não poderia comentar a respeito de investigações em andamento.

    Source: http://www.geek.com.br/modules/noticias/ver.php?id=3858&sec=5

    Save us...
    Já nem no firefox estamos seguros...:'(
     
  2. bomb

    bomb I quit My Job for Folding

    Até o IE já é mais "seguro" que o Firefox ao menos quer dizer que eles evoluiram um bocado, já que o problema é maior no firefox que no IE.
     
  3. luikki

    luikki Power Member

    macumba brasileira...
     
  4. ZoomBang

    ZoomBang Power Member

    Guardar passwords no browser? LOL
     
  5. HecKel

    HecKel The WORM

    Quantas pessoas o fazem? Facilita bastante a vida a algumas pessoas, claro que falo em computadores pessoais. No entanto parece que não é assim tão seguro....

    Só estamos seguros se nos fecharmos dentro de um quarto sem contacto com o mundo exterior :P E mesmo assim ainda podemos morrer de claustrofobia :P


    Guardo algumas passwords no FF, mas passwords que realmente venham a darem-me prejuízo, nem em papel :P

    abraços, HecKel
     
  6. greven

    greven Folding Artist

    O meu browser tem bastantes passwords guardadas. Afinal, não vou estar sempre a inserir os logins de montes de forums, páginas com registo que frequento. Se for a supor que isso não é seguro, estou lixado...
     
  7. ruimoura

    ruimoura Power Member

    Não vejo qual a questão de guardar passwords no browser ... Eu guardo, sou o único utilizador, e uso Firefox. Estas vulnerabilidades nunca dão em nada. Se dessem, não eram divulgadas ...
    E as passwords realmente importantes não se anotam nem guardam, seja no browser, seja em papel, seja onde for ;) ... E o home banking nem sequer pode guardar password ...
     
  8. TuxBoss

    TuxBoss Power Member

Partilhar esta Página