12 de maio de 2005
Foram encontrados dois grandes erros de segurança no navegador de internet Mozilla Firefox, ambos descritos por analistas de segurança como 'extremamente críticos'.
Publicou-se na internet o ataque que usa uma combinação dos dois defeitos, e permite ao atacante executar um código no computador da vítima e tomar controle sobre ele.
O primeiro permite que um 'marco' invisível navegue de volta a um vínculo no historial que contenha Javascript. Isto permite ao atacante extrair informação pessoal, como contra-senhas do lugar, usando o código de Javascript.
O segundo permite ao atacante colocar um Javascript na direção de internet no ícono para baixar programas na caixa de diálogo de confirmação de instalação. Este código pode então executar-se com grandes privilégios.
Estes defeitos se confirmaram na mais recente versão do navegador, a 1.0.3, e poderiam também estar presentes em versões anteriores.
O navegador mais popular é o Internet Explorer de Microsoft, o qual é criticado por suas múltiplas falhas de segurança. Atualmente tem vários defeitos de segurança, o mais severo deles descrito como 'altamente crítico'.
Proteja-se
A Fundação Mozilla publicou uma série de passos que os usuários podem seguir para limitar sua vulnerabilidade, mas que também limitam a funcionalidade do navegador:
- Selecione o diálogo "Opções" ("Options") do menu "Ferramentas" ("Tools")
- Selecione o ícone "Características Web" ("Web Features")
- Clique no segundo botão "Lugares Permitidos" ("Allowed Sites")
- Clique no botão "Remover todos os lugares" ("Remove All Sites")
- Clique em "Aceitar" ("OK")
Para prevenir que o código tome seus cookies ou outros dados pessoais ao visitar lugares não seguros, no Firefox:
- Selecione o diálogo "Opções" ("Options") do menu "Ferramentas" ("Tools")
- Selecione o ícone "Características Web" ("Web Features")
- Deseleccione "Habilitar Javascript" ("Enable Javascript")
- Clique em "Aceitar" ("OK")
A fundação não fez comentários sobre quando se corrigirão estes erros no software. Uma nova versão do navegador em fase de desenvolvimento com o erro corrigido se anunciou, mas esta versão pode ter outros erros e se recomenda esperar à versão final com todos os patches.
Ver também
Fontes
- Mozilla Foundation Security Advisory 2005-42 — Mozilla Foundation, 9 de maio de 2005
- More Details on Arbitrary Code Execution Vulnerability [inativa] — MozillaZine, 9 de maio de 2005. Página visitada em 12 de maio de 2005
. Arquivada em 14 de maio de 2005 - John Leyden. Firefox exploit targets zero day vulns" — The Register, 9 de maio de 2005
- Mozilla Firefox Two Vulnerabilities — Secunia, 9 de maio de 2005