Proponha uma correção, faça uma sugestão
Falha de segurança grave no Internet Explorer
Segundo uma noticia lida no sitio web do jornal Público foi descoberta uma vulnerabilidade grave no IE7. Esta vulnerabilidade permite aos atacantes mal intencionados ficar em controle do PC da vitima, bem como roubar-lhe as passwords.
Esperamos por mais desenvolvimentos, tendo em conta uma actualização/correcção do problema por parte da Microsoft.
Até ao momento apenas fica a notícia.
Uma falha no Internet Explorer permite tomar controlo de um computador e roubar-lhe as senhas, revela a BBC Online. Especialistas aconselham os utilizadores a mudarem de navegador até o problema estar resolvido.
A Microsoft disse ter detectado ataques contra o Internet Explorer 7.0, mas que esta vulnerabilidade também está presente nas outras versões e já pediu aos os utilizadores para se manterem atentos, enquanto prepara uma solução de emergência.
Mais de 10 mil sites já tiveram a sua segurança comprometida desde que a falha foi descoberta. "Neste caso, os ‘hackers' encontraram o problema antes da Microsoft, o que nunca é uma boa coisa", avançou Rick Ferguson, conselheiro de segurança da Trend Micro. "Por enquanto, a falha tem sido utilizada para roubar senhas de jogos, mas inevitavelmente os criminosos vão-se adaptar. Se os utilizadores conseguirem encontrar um navegador alternativo, isso seria uma boa medida contra a ameaça."
Contudo, a Microsoft desaconselha este tipo de acção. "Não posso recomendar às pessoas que mudem devido a esta falha", afirmou John Curran, representante da Microsoft no Reino Unido à BBC. "Estamos a tentar resolver isto o mais rápido possível. Por enquanto a exploração desta falha só está a afectar 0.02 por cento dos sites."
O editor de segurança da "PC Por Magazine", Darien Graham-Smith, diz que a Microsoft fez bem em revelar esta falha. "Se se escondem coisas como esta, colocamos as pessoas em risco sem o saberem. Todos os navegadores são susceptíveis a vulnerabilidades de vez em quando. Não faz mal dizer ‘não usem o Internet Explorer' por enquanto".
O Internet Explorer é o navegador mais usado em todo o mundo. Outros navegadores como Firefox, Opera, Chrome ou Safari não parecem vulneráveis a esta falha de segurança.
Este artigo tem mais de um ano
Loading ...
“looooll” (só isto..)
Eish lá vem a guerra dos browsers outra vez…
Bom post… Obrigado por informares 😉
😀 é sempre bom saber destas coisas
“desta falha só está a afectar 0.02 por cento dos sites”
Que devem ser uns largos milhões, não?
“(…)também está presente nas outras versões(…)”
É por estas e por outras que já me deixei de IE há muito tempo. 🙂
É a praga dos browsers mais usados… Mais pessoas interessadas a acharem falhas de segurança neles.
Isto das matemáticas tem que se lhe diga!
Senão vejam:
Peguemos em todos os sites que se encontram à solta na net.
De seguida retiremos-lhe todos aqueles que pura e simplesmente não servem para nada (e são muitos)…
Epá, ia jurar que daria um resultado de aí uns 0.02 por cento dos sites existentes…
Cambada de hipócritas! Não se trata do número mas sim do tipo de sites afectados.
Não faz falta comprometer mais de 0.02 por cento dos sites para causar dano!
Basta comprometer os sites certos. Por exemplo, da última vez que verifiquei o youtube tinha mais de 6 milhões de visitas mensais!!!
Imaginem o numero de utilizadores comprometidos que teriamos caso resolvessem utilizar um site deste tipo para os ataques.
Logo quando pensava que a Microsoft estava a enveredar por um caminho menos mau eles saem-se com uma destas!
Nem é o problema do browser que me incomoda; falhas todo o software possui.
É a atitude que eles estão a tomar que me deixa sem palavras…
O aviso de segurança é este, do dia 10, com uma actualização no dia 15. Não é propriamente uma notícia de última hora.
Convém seguir as recomendações, basicamente:
– assegurar-se que o anti-virus está actualizado.
– correr o Internet Explorer 7 ou 8 em”modo protegido”.
– mudar a definição da zona de segurança do Internet Explorer para “Alta”
– no Windows activar a Actualização Automática para permitir instalar o patch assim que disponível.
http://www.microsoft.com/technet/security/advisory/961051.mspx?pf=true
P.S. Não vale a pena levar este episódio para a “guerra dos browsers”. As falhas de segurança são descobertas em todos os browsers – convém é que sejam descobertas primeiro por quem cria os patches e não por quem aproveita as vulneraabilidades,
”até o problema estar resolvido.”’
ri-me
… nem sabia que havia “modo protegido” LOL
http://www.microsoft.com/windows/windows-vista/features/IE7-protected-mode.aspx
Internet Explorer… está td dito… (só pra espicaçar um pouco a browsers war lol)
Só mesmo por vir com o Windows é que as pessoas usam o IE… é o mais lento, mais pesado, mais vulnerável… é só bónus
Esse gajo da micro$oft so pode ser burro.
O problema não são sites mas sim de um ficheiro k pode tar alojado em qualquer lugar inclusivé no disco da pessoa, pode estar por exemplo num rar com musica, extrai-se e pumba, a pessoa tem la um link k diz “mais musica gratis aqui”, clica e ta feito.
Mas todos os antivirus detectam o problema. ja testei e o avira detecta codigo malicioso de imediato.
Fica aqui um exemplo em HTML de como iniciar a calculadora:
http://milw0rm.com/exploits/7477
a mim no ie simplesmente crashow e no FF nada acontece
Tal como alguém já mencionou, já havia conhecimento desta vulnerabilidade desde há uns dias para cá. Não foi descoberta hoje.
Para mitigar os problemas:
Activar Modo Protegido. Para tal, há que activar o UAC (com algumas afinações para não maçar o utilizador com os alertas todos.)
Outras sugestões dadas pelo utilizador que postou mais atrás.
Activar o DEP para o IE7.
Visitar constantemente este sítio, e adicionar à lista de sites restritos no IE – http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20081210
E não digam que não sou amigo. 🙂
E qual Firefox, qual quê? Até essa grande porra tem vulnerabilidades, e está inclusive, no topo das aplicações com mais vulnerabilidades no ano de 2008. Seguro, qual quê? Sem as extensões de segurança Noscript, AdBlock plus e outras, o Firefox é tão seguro como um cofre aberto.
A única vantagem entre Firefox e IE – e refiro-me apenas aos navegadores – é o facto de um ter o seu código fonte disponível para quem o quiser estudar, e caso encontre alguma falha, poder corregi-la.
De resto, qual segurança? Tenham é dó aqui da minha garganta, que não posso mais de tanto rir.
Só diz que o IE7 é inseguro quem não sabe mexer na porra das definições. Elas estão lá e é possível melhorar a segurança do IE7. Se vocês não sabem como, então aprendam, ou então usem outro navegador. Agora, por favor, não venham com essas tretas do costume.
90 e tais % seguro = Opera
Nunca compreendi. Por que é que, quando vulnerabilidades são descobertas no IE, os seus utilizadores são aconselhados a trocar? E quando o alvo é Firefox, não aconselham a trocar? Eu até aconselho a nunca usar.
Lembra-me a história do Thunderbird e Firefox “telefonarem” para casa. Não houve grande alarido, mas se tivesse sido com alguma aplicação da Microsoft, bem, já sabem o que teria acontecido.
🙂
E tenho dito.
Abraços
Os bugs do IE são sempre do mesmo tipo, também. Que coisa mais aborrecida. Ao menos «inventavam» bugs novos. Que coisa tão pouco «fashion» 😛
Por falar em browsers e segurança, já saio o Pera 9.63 a corrigir falhas de segurança.
Por falar em browsers e segurança, já saio o Opera 9.63 a corrigir falhas de segurança.
Por estas e por outras coisas, já me deixei dele!!
O browser FireFox, da Mozilla, foi eleito como a aplicação mais “vulnerável” de 2008!
Será k nao existe um browser melhor k o internet explorer, o firefox e o opera? (já nem m refiro ao safari)
É por estas e por outras que eu nunca usei IE…fogo browsers da windows
põe-te…nunca gostei dessa merda, ou Firefox ou Google Chrome, IE nem pensar, não aconselho a ninguém…
Os outros têm as suas vulnerabilidades, mas para contento-me c/ Firefox e Opera 10, s/ dúvida um ferrari… 😀
…………
http://www.softfranchise.net
…………………
…, mas para já contento-me c/ Firefox…. ( assim é que é) 😀
Nem digo nada…
Pessoal… leiam os artigos que sairam a acerca disto e as recomendações para ultrapassar o problema.
Ainda há pessoas a pagar pelo windows lol
uma coisa são browsers grátis, se tiverem falhas ninguém é obrigado a devolver o dinheiro mas agora pagar por sistemas operativos caros só para ter o IE7??Pois o IE7 não é grátis, pois não se esqueçam que para ter o IE7 é preciso comprar o vista ou ter o windows XP com sp3.
Como é possível browsers grátis serem melhores que o IE7 e mais sem fundos monetários… dá que pensar… por isso pensem quando comprarem produtos microsoft!!
O que é um facto é que já lá vai uma semana e a Microsoft ainda não descobriu o patch para a vulnerabilidade. Não há dúvida que a situação é muito grave.
“Ouve-se” também o silêncio ensurdecedor dos fabricantes de anti-vírus. Ainda nenhum deles disse – “o nosso anti-vírus resolve o problema da vulnerabilidade, não é preciso o patch da Microsoft”. Isto, apesar de, correctamente, a Microsoft recomendar que se tenha o anti-vírus actualizado.
Só pra variar uma falha no IE. Hehehehehehe.
Pronto, e lá vieram comentários dispensáveis, pois não trazem nada de últil.
As vulnerabilidades existem somente no IE? Não! O Firefox foi considerado a aplicação, e neste caso, navegador com mais vulnerabilidades do ano de 2008, e este ainda não acabou.
Tal como eu mencionei, o Firefox sem as suas queridas extensões de segurança Noscript, Adblock Plus, Firekeeper e outras, oferece tanta segurança quanto um cofre aberto oferece ao vosso dinheiro.
E numa de reminiscência, lembram-se de um concurso realizado para peritos de segurança há uns tempos atrás, em que eles tinham que entrar em sistemas Windows, Linux e Mac OS? Bem, a única forma de terem conseguido entrar no Windows, foi através de uma falha do Adobe Flash
Já no caso do Mac OS, foi através de uma falha no próprio navegador da Apple.
No Linux (Ubuntu) não conseguiram entar, e porquê? Milhares e milhares de pessoas a rever o código fonte, por forma a minimizar todas as falhas possíveis que são encontradas. Este é grande “segredo” do Linux.
E o que é as empresas de segurança têm a ver com isto? Nada! de nada!
É a Microsoft que tem que resolver esta situação e não uma empresa de segurança com um produto que protega desta situação. Era o que mais faltava.
No entanto, para minimizar este problema além do que já foi sugerido e do sítio que eu sugeri visitarem pois contém uma lista em constante crescimento de sítios a bloquear no IE, é fazerem uso, por exemplo, do Haute Secure, que além de impedir acesso a sítios com conteúdos nocivos, ainda impede modificações às definições de segurança do IE. É uma aplicação gratuita e ainda em fase beta, mas bastante estável. Muito mais que muitas aplicações finais.
Ainda poderão fazer uso do LinkScanner Pro, que além de impedir acesso a sítios de conteúdos nocivos, ainda impede que entrem em sítios de conteúdos nocivos em caso de redireccionamentos, etc. Impede explorações (os tão falados “exploits”), entre outras protecções.
A protecção oferecida pelo LinkScanner é fornecida em tempo real e não base de dados. A equipa do LinkScanner (agora parte da AVG) faz uso de Honeypots para estarem a par dos “exploits”, etc., mais recentes.
Só para dizer que segundo sei, a Microsoft irá disponibilizar uma actualização hoje para resolver este problema. Fiquem atentos.
@m00nbl00d
Concordo com tudo o que disseste, excepto que o Firefox sem extensões é altamente inseguro. Desde que esteja actualizado, pode não ter extensão nenhuma, é mais seguro que o IE. Senão basta veres o número de vulnerabilidades descobertas num e no outro (O IE não entrava nessa análise do Firefox ser o mais vulnerável, e como já disse aqui, era uma notícia sensacionalista e parcial).
@ Bruno Bernardino
O que eu mencionei em relação ao Firefox, não foi dito tendo como comparação o IE. Não foi comparado com nenhum outro navegador.
O que apenas quis dizer, foi que, sem essas tais extensões o Firefox não é assim tão seguro como o querem fazer parecer que é.
A única vantagem, a meu ver, do Firefox, é precisamente o seu código fonte estar disponibilizado para quem o quiser rever e assim as falhas serem mais rápidamente descobertas em relação ao IE.
E mesmo isto, parece que durante o ano de 2008, e que ainda não chegou ao fim, não lhe valeu de grande coisa, pois está no topo da lista das aplicações mais vulneráveis.
Isto quer dizer uma de duas coisas. Ou ninguém realmente está interessado em rever o seu código fonte, ou então, há quem esteja interessado e não perceba de nada do assunto? Aqui fica uma pergunta, talvez, pertinente. Ou não. 😀
Quanto ao IE, que é o assunto em causa, é possível minizar os problemas, de forma a evitar problemas.
Essas dicas foram dadas pela Microsoft e eu mais uma vez aproveito para dizer que devem visitar este sítio constantemente e colocarem os sítios lá mencionados na lista de bloqueios do IE. E não apenas do IE, pois ao visitarem ou serem redireccionados para esses sítios, mesmo usando outros navegadores, por certo, acredito, que não trará nada de positivo.
O sítio é este: http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20081210
Adicionem aos vossos favoritos e visitem-no constantemente.
Há cerca de 2 anos que neste sistema o IE é usado por familiares meus e de vez em quando por mim, e está bem protegido, quer com alterações de definições de segurança, que existem no próprio IE e que, infelizmente, muita boa gente não sabe mexer com elas e depois dizem que o IE é inseguro por isto e por aquilo; e com outras medidas de segurança preventivas.
As ferramentas estão disponíveis. Há é que saber usá-las.
Um abraço
@ m00nbl00d
podias dizer com fazer as alterações no IE tenho o xp pro
Obrigado e Abraços
@m00nbl00d:
Vou começar por dizer que não estou aqui para alimentar nenhuma guerra mas antes a dar a minha opinião.
Tens a tua dose de razão mas sou obrigado a discordar de certas coisas que dizes.
Primeiro: o Firefox está no topo de uma lista, como já alguém disse, imparcial em que se diz que é uma das aplicações que apresenta mais falhas de segurança.
Sei que é fácil associar isto a vulnerabilidade mas não é o caso.
Já foi provado que a Mozilla é uma das companhias que disponibiliza mais rapidamente soluções para as falhas de segurança logo o Firefox não é tão vulnerável quanto alguns querem fazer acreditar.
Além disso o facto das vulnerabilidades serem encontradas e resolvidas só prova que a comunidade está atenta e activa…
Habituei-me a ver o Firefox e as suas extensões como um todo, ou seja para mim o Firefox é uma plataforma extensível e sem extensões seria como um carro sem rodas.
Quero com isto dizer que se as extensões existem é porque tem um propósito e devem ser utilizadas, tendo dado tu bons exemplos da segurança adicional que os seus utilizadores podem conseguir.
Segundo: o IE tem uma penetração de mercado de aproximadamente 70%.
Eu sei como me proteger e tu sabes como te protegeres, mas e o resto das pessoas?
O teu vizinho do lado tem o mesmo tipo de conhecimento que tu? Saberá ele como utilizar as definições de segurança do IE?
Pensa nisto e acrescenta-lhe o facto da profunda integração que o IE possui com o sitema operativo e diz-me lá se para a maior parte das pessoas que o utiliza o IE não será uma bomba relógio.
Isto sem sequer mencionar que nem toda a gente frequenta sites de tecnologia em que são avisados destes problemas.
Vou acrescentar ainda que com as definições de segurança do IE no seu nível máximo o utilizador fica bastante limitado em termos de navegação tendo eu próprio já tido problemas (a nível de actualizações do sistema operativo).
Terceiro: mencionaste o Haute Secure que também já experimentei.
Possui um conceito fantástico mas convém mencionar que torna o acesso relativamente mais lento que o normal. Sei que é um preço a pagar por uma camada extra de segurança mas a velocidade de acesso é um factor muito importante para a maior parte das pessoas tornando essa aplicação não tanto funcional quanto o desejado.
Finalmente, quanto à solução da Microssoft que apontaste convém mencionar que não é definitiva mas antes um “remendo” que tenta minimizar o problema não tendo a Microsoft disponobilizado uma solução final.
Como já mencionei noutro post não é a falha de segurança do IE que me revolta mas sim a atitude comodista e irresponsável da Microsoft que tenta desdramatizar o caso para não perder mais mercado.
Que se lixe a segurança dos utilizadores, o que importa é que não substituam o nosso browser.
Tenho dito.
Fiquem bem…
O problema não são aparecerem falhas, isso é previsível que hajam, mas sim o teeeeeeeeeeeeeeeeeeeeeeempo que levam para corrigi-las.
@m00nbl00d: as vantagens que referiste para o linux aplicam-se a todo o software opensource mais utilizado, incluindo o firefox. Sim, o Firefox também tem vulnerabilidades, erros cometidos por nós, os programadores. No entanto, mesmo com esses erros, sinto-me muito mais seguro a navegar com o Firefox do que com qualquer outro browser que não seja opensource. O principal motivo é que o desenvolvimento deste browser é feito de forma transparente, aberta e com actualizações de segurança assim que é encontrada uma solução.
“Tal como eu mencionei, o Firefox sem as suas queridas extensões de segurança Noscript, Adblock Plus, Firekeeper e outras, oferece tanta segurança quanto um cofre aberto oferece ao vosso dinheiro.” – Discordo quando dizes que o Firefox não é seguro sem as suas extensões… aliás o principal problema de segurança e de desempenho do firefox advém da utilização de extensões e de plugins inseguros.
“E mesmo isto, parece que durante o ano de 2008, e que ainda não chegou ao fim, não lhe valeu de grande coisa, pois está no topo da lista das aplicações mais vulneráveis.” – Quanto à listagem que dizia que o Firefox era o software mais inseguro de 2008, lembro que, para além dessa análise ter sido considerada extremamente tendenciosa, os parâmetros do estudo davam mais ênfase ao número de bugs encontrados do que à gravidade ou o tempo de lançamento de correcções para os mesmos, ou seja, o Firefox apresenta muitos bugs, porque todos os erros, vulnerabilidades, problemas, etc, são reportados sobre a forma de bug e apresentados publicamente no bugzilla para quem os quiser ver. Como sabem o internet explorer não funciona assim, e devem existir muitos bugs que são encontrados e reportados e que não são tornados públicos. Por outro lado se compararmos o tempo de resposta a correcções de vulnerabilidades do Firefox versus Internet Explorer, é fácil verificar que estas são lançadas muito mais rapidamente para o Firefox do que para o IE.
“Bem, a única forma de terem conseguido entrar no Windows, foi através de uma falha do Adobe Flash” – apenas uma correcção, não foi a única, foi apenas a primeira; relembro que havia prémios para os hackers que conseguissem entrar primeiro em cada um dos sistemas operativos; ao ser encontrada a falha, o concurso terminava aí, e todas as outras falhas que estivessem a ser exploradas deixam de fazer sentido no âmbito do concurso. Foram encontradas muitas outras falhas depois do concurso em componentes do core do Windows que podiam ter sido exploradas com sucesso no concurso.
Queria deixar claro que isto é apenas a minha opinião e que deriva da minha experiência de utilização das aplicações sugeridas. Felizmente deixei de utilizar Windows como sistema base à uns anos (e desde então nunca mais tive de fazer reinstalações forçadas, utilizar antivírus, desfragmentar discos, etc – linux is amazing), e quando utilizo é recorrendo a sistema virtualizados dentro do Linux, embora nunca exceda os 5 minutos (apenas para testar aplicações WEB nos diferentes browsers). Como tal é normal que a minha opinião seja completamente diferente das de um utilizador Windows e acredito que existam utilizadores que consigam implementar mecanismos de segurança extra que tornam o sistema muito mais seguro, próximo daquilo que praticamente sem esforço conseguimos ter no Linux ou no Mac OS.
Parece que o “patch” de correcção já foi disponibilizado pela Microsoft… 1 dia após a publicação da notícia.
A minha questão é desde quando é que a Microsoft tinha conhecimento da falha até esta ser anunciada mundialmente pelos meios de comunicação social?
Foi uma excelente estratégia de Marketing em relação aos concorrentes.
“Foi uma excelente estratégia de Marketing em relação aos concorrentes.”
hum?! desde quando uma falha de segurança e’ uma estratégia de marketing?!
“Ah e tal devem evitar usar IE” — Sim, grande campanha de marketing.
Gizz é com cada teoria da conspiração!
Abraço a todos.
Feliz o dia já longínquo que deixei de usar isto!
_
http://truquestelemoveis.blogspot.com/
Meu Ovo o.O
Uso o Internet Explorer 6, o Windows XP e o SP2 e o Antivirus AVG Free. Será que também posso ser afectado pelo problema de segurança do IE?
Em caso afirmativo, como posso resolvê-lo?
Agradeço a ajuda…
Obrigado