Zone-H
Home arrow Notícias ITsec arrow HTML e Mozilla: Informação e segurança em risco!!
04 de setembro de 2010
  
 
Ataques desta semana
O.S.  Defs.  %
Linux  9976  73.09%
Win 2003  3249  23.81%
FreeBSD  227  1.66%
Win 2000  66  0.48%
Unknown  48  0.35%
Other  82  0.60%

Total de ataques: 13648 dos quais 2757 único(s) no ip e 10891 invasão(ões) em massa

Menu Principal
Home
Guerra Digital
Geopolítica
Notícias ITsec
Avisos de Segurança
Test Drive
360°
Sites atacados
Eventos do Zone-H
Fórum
Publicações
Zone-H Amigos/Parceiros
Contate-nos
Sobre este Site
Membros do Zone-H BR
Favoritos geral
Zone-H.org
Área de download
HTML e Mozilla: Informação e segurança em risco!! Imprimir E-mail
Avaliação do Usuário: / 2
PiorMelhor 
Por Giovanni Delvecchio (Badpenguin)   
21 de fevereiro de 2007

firefox_privacyA grande disponibilidade e a “facilidade de uso” das ferramentas digitais foram um dos grandes fatores para a popularização em massa da internet, mas esta facilidade chamada de “amigável para o usuário” representam riscos em potencial para a segurança e privacidade digital dos usuários.

Neste propósito, hoje o Zone-H esta apresentando aos seus leitores uma velha falha de segurança que existia em alguns browsers (atualmente apenas um), uma falha de segurança que já foi publicada nos alertas de segurança do Zone-H.

A idéia de falar sobre um problema antigo apareceu após olharmos o website da Heise-Security, uma página da web que permite aos usuários realizar alguns testes para identificar a segurança em seus browser’s. Durante estes testes, uma nos chamou a atenção, uma falha descoberta e publicada pelo Zone-H dois anos atrás...

Antes de continuarmos com uma explicação mais detalhada, nós temos que pensar no ponto de vista de muitos desenvolvedores (especialmente alguns da Mozilla) que não consideram esta falha de segurança como um problema real, mas apenas como uma “característica” relacionada aos requisitos do DOM (Document Object Model). Isto quer dizer que, de acordo com eles, a negligência dos usuários enquanto usam a internet podem trazer alguns problemas para eles por cauda destas “características”.

Apesar da opinião dos desenvolvedores e dos programadores, parece que tais características – se exploradas corretamente – terão o mesmo impacto que qualquer problema de segurança.

Especificadamente se esta falha pode dar permissão a um usuário malicioso acessar arquivos do computador da vítima. Como? Simples, a vítima precisa apenas abrir um inocente arquivo .html para que o criminosos possa obter acesso a dados de seu computador. Basta o atacante modificar alguns parâmetros do Content-Type do cabeçalho HTTP e aparecerá uma janela perguntando se deseja salvar ou abrir o arquivo .html. Em ambos os casos, códigos javascripts serão executados e as configuração de Zona Local vão permitir ao atacante listar nomes, diretórios e acessar arquivos.

Tanto o alerta de segurança do Zone-H ou o teste no site da Heise Security mostram como verificar o problema, e para deixar claro, após 2 anos somente o Mozilla Firefox continua com esta falha (versão 2.0.0.1 para Mac/Windows/Linux).

Se esquecermos dos desenvolvedores por enquanto, e analisarmos o problema do ponto de vista dos usuários, fica difícil esquecer do fato que a maioria dos usuários da internet não tem noção dos riscos que correm quando mandam abrir um arquivo (e não somente executáveis), e a maioria acham que um documento .html é confiável sempre!!

A segurança não pode ser considerada um produto, e sim um processo, que não pode deixar de lado importantes aspectos: Como a importância da educação e do treinamento para todas as pessoas envolvidas sendo elas desenvolvedores, gerentes, secretárias ou usuários finais, que podem ter envolvimento com vazamento de informações ou serem a porta de entrada de um ataque.

Ferramentas digitais tais como as da Mozilla, poderiam dar uma importante contribuição para a educação dos usuários, por exemplo, informando que eles correm o mesmo risco abrindo um documento .html que um .exe como acontece atualmente onde a mensagem aparece quando de tenta abrir um executável. Isto não iria acabar com os problemas de segurança, mas seria um passo a mais para ajudar na prevenção.

A única solução por enquanto é bloquear a execução de scripts potencialmente maliciosos na Zona Local, que é o que acontece no Opera e no IE7.

Algumas vezes, se a rigidez dos requisitos a seguir para normas DOM fosse um pouco menor, talvez seria benéfico tanto para a segurança quanto para a privacidade dos usuários.

 


Adicionar como favorito (71) | Publique este artigo no seu site | Visualizado: 2001

Comentários (3)
Comentários em RSS
1. 23-02-2007 17:13
 
Será corrigido
Isso será corrigido na versão 3.0: 
 
https://bugzilla.mozilla.org/show_bug.cgi?id=230606#c36 

Brendan Eich 2007-02-01 08:47:00 PST 
 
This will get fixed for 1.9 (Firefox 3). 
 
/be 

Visitante
  
Visitante
2. 24-02-2007 00:03
 
-------^^
Ass: asrail. 
 
Gostaria de ver também uma explicação de onde disseram que isso está desse jeito apenas por desejo dos desenvolvedores. 
Visitante
  
Visitante
3. 23-02-2007 18:51
 
correção da falha
A correção da falha está para ser lançada no Firefox 3 (https://bugzilla.mozilla.org/show_bug.cgi?id=230606#c36). 
 
Rafael Bernard Araujo 
http://rafael.bernard-araujo.com/
Visitante
  
Visitante

Escrever comentário

  • Por favor, o assunto do seu comentário precisa ser relevante ao assunto do artigo.

  • Ataques pessoais e/ou racistas serão deletados.

  • Por favor, não use os comentários para fazer propaganda de seu site ou será deletado.

Nome:
E-mail
Homepage
Título:
BBCode:Web AddressEmail AddressBold TextItalic TextUnderlined TextQuoteCodeOpen ListList ItemClose List
Comentário:



Código:* Code
Quero ser contactado por e-mail avisando sobre comentários

Powered by AkoComment Tweaked Special Edition v.1.4.6
AkoComment © Copyright 2004 by Arthur Konze - www.mamboportal.com
All right reserved
 
< Anterior   Próximo >
[Voltar]
 
Top!
(C) 2010 Zone-H - Unrestricted Information
Top!