Proponha uma correção, faça uma sugestão
Chrome e Firefox – Falha permite clickjacking
Foi descoberta no Chrome uma falha de segurança que expõe o navegador do Google a potenciais ataques por clickjacking. Uma equipa de analistas de segurança concluiu que este browser permite que sejam substituídos os links legítimos por outros à escolha dos atacantes.
Entretanto o Google informou do conhecimento da falha e que está já a trabalhar na correcção que resolverá o problema na versão do Chrome 1.0.154.43 e anteriores, sobre o Windows XP SP2.
Este tipo de ataque leva a que os utilizadores façam determinadas acções que não tinham intenções de fazer, legitimando todo o ataque pois parte do browser por nossa iniciativa.
Surgiram posteriormente a esta descoberta, informações veiculadas pelo porta-voz da empresa de segurança da filial australiana, dando conta que a falha é extensiva a outros browsers e não apenas ao Chrome.
Contudo o chefe executivo, Nishad Herath, da empresa de segurança e consultadoria Novologica, afirmou que depois de executar o processo que gerou a prova de ataque descobriu que o Internet Explorer 8 (versão RC1 e Beta 2) e o Opera 9.63 (a última versão) não estavam expostos a esta falha de segurança. Concluiu então que esta falha estava a afectar o Chrome e o Firefox 3.0.5.
Mais informações: ZDNet
Este artigo tem mais de um ano
Loading ...
Boa 🙂
Hoje ou amanhã já sai um patch e um upgrade 🙂
E para quem usa as versões beta e afins do Chrome, essa falha já tinha sido corrigida ou estão igualmente expostos?
Bem, afinal parece que estes males, não assombram apenas o Internet Explorer.
Caso fosse uma notícia sobre o IE, já cá estariam as más críticas, não é verdade? Como não é… 😀
saia uma nova release do fox….. o resto é conversa xD
E o IE7 afecta? aí não diz… eu não uso mas tenho curiosidade.. lol
Enfim.. todos os browsers têm falhas.. desde que as corrigam rapidamente tudo bem.
Diogo.AOS a nova versão beta não é referenciada.no entanto também não é ilibada.
Em relação ao IE8… a Microsoft depois de reformular determinadas politicas relacionadas com os seus produtos, mais concretamente após o fim do período Windows XP e Internet Explorer 6, lançou novas versões onde a segurança estava no topo da lista de prioridades.
Não é ao acaso que vemos um Windows Vista com alguns anos de mercado e com pouquíssimas falhas de segurança, sendo que graves creio que não houve nenhuma.
O mesmo se passa com o seu browser. Desde a saída do Internet Explorer 7 que as falhas de segurança não têm significado face, por exemplo, as ocorridas no Firefox.
O Internet Explorer 8 será, a meu ver, o browser que terá o melhor resultado tendo em conta o binómio n.º utilizadores vs falhas de segurança.
Posso a antever mesmo e não sou utilizador IE, eu maioritariamente utilizo FF, que o IE8 será o mais seguro browser de sempre.
Depois há a questão que a Microsoft também limou, que são as respostas à falhas ocorridas. Serão mais rápidas, expondo menos os seus utilizadores aos perigos.
À medida que o Chrome for ganhando mercado, é provável que outras mais apareçam, pelo facto deste browser ser ainda muito jovem.
Vítor M., tens razão no que dizes quanto à Microsoft ter colocado a segurança no topo das suas prioridades (pelo menos em termos de anúncios por parte da empresa, não tenho conhecimento da realidade interna).
No entanto tenho as minhas dúvidas que isso se traduza em mais segurança, especialmente sabendo a história passada da Microsoft, com alguns fixes para “security issues” menores terem de esperar até um Service Pack até serem corrigidos (lamento, não me recordo qual foi, sei que não era uma falha importante mas mesmo assim era uma falha de segurança). Sem dúvida lá tiveram as suas razões, mesmo assim parece-me um pouco hipócrita.
De qualquer maneira, deixo-te aqui uns links que julgo que serão do teu interesse. Devo sublinhar que IE7 e Firefox 2 foram ambos lançados em Outubro de 2006:
http://secunia.com/advisories/product/12366/
http://secunia.com/advisories/product/12434/
IE7: Unpatched 27% (9 of 33 Secunia advisories)
Firefox2.x: Unpatched 10% (3 of 29 Secunia advisories)
e agora o que me surpreendeu, pensei que estivesse com algumas falhas:
Google Chrome:
Unpatched 0% (0 of 0 Secunia advisories)
[ http://secunia.com/advisories/product/20760/ ]
Inteh 🙂
Para evitar ataques via “clickjacking” e outros que envolvam “Javascript”, “Java” ou outros tipos de “códigos” tenho 2 palavras para dizer: FIREFOX + NOSCRIPT (add-on para o Firefox).
Não precisam de mais nada, além de bom senso, claro 🙂 .
Se querem ter segurança a navegar: Opera 🙂
Até aqui o grande massacrado tem sido o IE, mas a partir de agora os outros é que vão começar a ver como elas doem… É uma consequência natural e não há como evitar isso, a não ser através de actualizações de segurança muito regulares e é preciso que os utilizadores as instalem com a rapidez exigida!! A maior parte das pessoas nem sabe que existem estes perigos, não sabe que as actualizações são muito, mas muito importantes, por isso é que as ameaças se propagam com facilidade.
@Vítor M.
Eu agora uso o Opera ainda, mas comecei a utilizar o IE 8 muitas vezes também 🙂 Está muito rápido! Não sei se nos testes ficará em último lugar comparado com os outros browsers, mas pelo menos, aparentemente, está muito rápido.
E lá está, na segurança, o IE desde sempre que é muito atacado.
@paulf:
Segurança online é uma ilusão.
Para teres noção aqui tens o changelog do Opera.
Verás que foram corrigidas 8 falhas de segurança.
Não me interpretes mal; tenho um grande respeito pelo Opera, apesar de não ser o browser que normalmente uso.
A questão é que não existe nenhum software sem defeitos, e a web é , hoje em dia, o alvo preferido dos hackers e afíns.
Quanto ao IE, acho que as pessoas têm tendência para ver apenas aquilo que querem. Sim, o IE é um browser inseguro, mas não por causa das falhas de segurança; o IE é inseguro porque é um programa demasiado explorado.
Digam as pessoas o que disserem, a pirataria é hoje um negócio e, quando se trata de negócio, mais vale apostar nas grandes massas, pois é isso que dá realmente lucro.
Além disso, sou obrigado a concordar com o @jmtdstoc; o Firefox com o Noscript oferece uma navegação mais segura do que qualquer outra solução, excepto, talvez, a utilização de uma Sandbox.
É claro que não há browsers “inpenetráveis”. Só que aqui, foram os especialistas de segurança a descobrir a falha. É neste aspecto que acho o Firefox um browser seguro. As falhas são rapidamente descobertas e corrigidas.
O curioso disto tudo é que este truque já é conhecido há uns bons anos, é bastante utilizado para customizar botões de upload em formulários web:
http://www.shauninman.com/archive/2007/09/10/styling_file_inputs_with_css_and_the_dom
comparem o resultado desta página: http://www.shauninman.com/assets/examples/styling-file-inputs/ no opera e no firefox.
O engraçado (deste artigo) é só se terem lembrado agora que o mesmo pode ser aplicado a botões normais.
Bom, é o preço a pagar por ter coisas bonitas.
@M. Gomes
Em todos os browsers tem um resultado diferente. O ie8 (8.0.7000) mostra apenas um botao (choose file) enquanto que o opera mostra a barra e o botao (chosse…)
Ja foi fanboy do FF mas como a sua evolucao e pouca em relacao aos restantes tenho deixado para o lado. Espero que o futuro do firefox seja melhor, desde que o pessoal comecou a usa-lo muito, ja comecam a quer tambem ataca-lo. Comecei a usa-lo quando estava na versao 1.5 e ai ganhava e muito ao ie6.
E um erro que existe no firefox desde que saiu a versão 3.0.
Ainda de manha deixei pessoal aceder as suas contas pessoais a partir do meu portatil e sem querer vi as suas passwords.
Good Work!
Mesmo assim e bom alertar o pessoal destes perigos.
Excelente site.
Cumprimentos
Também utilizei o FF quando o vi há anos quando vi o suplemento do jornar 24 Horas, e nunca mais lhe toquei precisamente pelo motivo parecido com o da Sara Canelas. “Dizia-lhe constantemente para não guardar senhas do banco e da Sta Casa, mas quando ia verificar lá estavam elas. De notar que durante o primeiro ano de vida o FF não teve nenhum ataque ou falha; acho que não é necessário dizer porque.
Já vi aqui alguém dizer que o FF sem addons ou suplemtos nao vale nada; outros que não o largam precisamente por causa destes, e eu acho que quantos mais addnos ou supl. tiver “agarrados” mais vulnerável se torna. Todos esses addons são criados pela Mozzila? Por ex. o Kis diz que o Adobe Flash que está com o opera Portabele é vulverável. Estou como diz o CáVai “Segurança online é uma ilusão”.
Para questões de segurança façam como eu e passem a enviar mensagens
e outras coisas de segurança por “Pombo Correio”, não esquecendo
porém de só utilizar este processo fora da época da caça aos mesmos.
Desculpem isto é só stress da iminência de mais um fim de semana !
Nada mesmo melhor que o Opera.
Nenhum programa é infalivel mesmo, mas o que importa é o tempo de demora para correcção. O facto de antes de a falha ser publicada, a falha ser corrigida (rapidez na correcção das falhas de segurança) é uma excelente razão para escolha do Opera.
Não será por alguma razão, que alguns ex-responsaveis do Firefox estarem a trabalhar neste momento no Opera.
Algo não deve estar bem no seio da Mozzila.
Um software que não tenha bugs conhecidos só significa uma coisa… ainda não foi suficientemente testado. 😉
LOLOL, curti ca fode, e digo so uso firefox e o chrome aqui no meu pc velhinho, na tou habituado ao IE, mas tipo, se fosse uma falha no IE era o cu do judas AIII E TALLL COISO BLA BLA BLA, agora nao é. AHH E TAL QUE VENHA O UPDATE, so visto mesmo…
keep gooing
Concordo plenamente com o Spulva.
Se fosse o IE este artigo ja tinha uns 40 comentários..
http://www.futeboltuga.com/forum/
Há muito que digo que os pop-under são piores que os pop-ups, mas “ninguém” me ouve…
As falhas de segurança afectam regularmente todos os navegadores. A atitude perante as necessárias correcções é que varia.
Tipicamente o Opera é actualizado ao fim de um dia, o Firefox e o Chrome numa semana, O IE demora meses (anos, em algumas situações) até ter uma correcção de segurança.
@Sara Canelas: isso não é um bug. Basta usar a senha mestra do Firefox que ninguém terá acesso as demais senhas. O Chrome também faz isso, nas opções há um botão “Mostrar senhas salvas” (versão pt-BR).
Quanto às senhas no Mozilla Firefox… bem vão a “Ferramentas” > “Opções” > “Segurança” e aí retirem a selecção da opção “Memorizar as senhas para os sítios”.
Vão ver que podem utilizar o browser sem correr o risco de ele guardar as vossas senhas!
Para uma maior segurança, façam o que já foi aconselhado por aí (e que eu já faço à algum tempo!) usem o NoScritpt (https://addons.mozilla.org/pt-PT/firefox/addon/722.
Como já disse muito boa gente… Usem o NoScript por amor de Deus. Até é mencionado no artigo da Wikipedia sobre o Click Jacking como a única coisa realmente capaz de o evitar a 100%.
Por outro lado aposto que a equipa que fez o NoScript é que editou essa parte do artigo 😛
Desde que seja corrigido em pouco tempo tudo bem….
Software e mesmo assim…
http://truquestelemoveis.blogspot.com/
Com Firefox 3.0.5.portable + noscript 1.9 vamos a qualquer lugar.