Duas falhas graves encontradas no navegador Firefox
12 de maio de 2005
Foram encontrados dois grandes erros de segurança no navegador de internet Mozilla Firefox, ambos descritos por analistas de segurança como 'extremamente críticos'.
Publicou-se na internet o ataque que usa uma combinação dos dois defeitos, e permite ao atacante executar um código no computador da vítima e tomar controle sobre ele.
O primeiro permite que um 'marco' invisível navegue de volta a um vínculo no historial que contenha Javascript. Isto permite ao atacante extrair informação pessoal, como contra-senhas do lugar, usando o código de Javascript.
O segundo permite ao atacante colocar um Javascript na direção de internet no ícono para baixar programas na caixa de diálogo de confirmação de instalação. Este código pode então executar-se com grandes privilégios.
Estes defeitos se confirmaram na mais recente versão do navegador, a 1.0.3, e poderiam também estar presentes em versões anteriores.
O navegador mais popular é o Internet Explorer de Microsoft, o qual é criticado por suas múltiplas falhas de segurança. Atualmente tem vários defeitos de segurança, o mais severo deles descrito como 'altamente crítico'.
Proteja-se
A Fundação Mozilla publicou uma série de passos que os usuários podem seguir para limitar sua vulnerabilidade, mas que também limitam a funcionalidade do navegador:
- Selecione o diálogo "Opções" ("Options") do menu "Ferramentas" ("Tools")
- Selecione o ícone "Características Web" ("Web Features")
- Clique no segundo botão "Lugares Permitidos" ("Allowed Sites")
- Clique no botão "Remover todos os lugares" ("Remove All Sites")
- Clique em "Aceitar" ("OK")
Para prevenir que o código tome seus cookies ou outros dados pessoais ao visitar lugares não seguros, no Firefox:
- Selecione o diálogo "Opções" ("Options") do menu "Ferramentas" ("Tools")
- Selecione o ícone "Características Web" ("Web Features")
- Deseleccione "Habilitar Javascript" ("Enable Javascript")
- Clique em "Aceitar" ("OK")
A fundação não fez comentários sobre quando se corrigirão estes erros no software. Uma nova versão do navegador em fase de desenvolvimento com o erro corrigido se anunciou, mas esta versão pode ter outros erros e se recomenda esperar à versão final com todos os patches.
Ver também
Fontes
- Mozilla Foundation Security Advisory 2005-42 — Mozilla Foundation, 9 de maio de 2005
- More Details on Arbitrary Code Execution Vulnerability [inativa] — MozillaZine, 9 de maio de 2005. Página visitada em 12 de maio de 2005
. Arquivada em 14 de maio de 2005 - John Leyden. Firefox exploit targets zero day vulns" — The Register, 9 de maio de 2005
- Mozilla Firefox Two Vulnerabilities — Secunia, 9 de maio de 2005