notícias por e-mail   fale conosco  rss
Tecnologia
Últimas Notícias
Fotos
Celular & Wireless
Cine & Foto
Download
Eletrônicos
Games
Hardware & Software
Internet
Negócios & TI
Robôs
Shopping
Tecno Trash
Tutoriais & Dicas
vc repórter
Virus & Cia
Correções
Convergência Digital
Mac+
 Especiais
Internet 10 anos


 
Notícias por e-mail

Receba todas as novidades por e-mail

Fale conosco

Participe! Envie suas sugestões ao canal


Vírus & Cia
Quarta, 29 de novembro de 2006, 09h50 
Nova falha atinge navegadores Firefox 2 e IE 7
 
 Últimas de Vírus & Cia
» Privacidade: escândalo faz alemães pedirem leis rígidas
» Especialistas propõem o fim das senhas
» FBI prende brasileiro em operação contra cibercrime
» Vírus ataca usuários do Banco do Brasil online
Busca
Faça sua pesquisa na Internet:

O especialista em segurança Robert Chapin descobriu uma falha que permite que hackers coletem nomes de usuário e senha através de formulários de login falsos. A falha, que foi apelidada de "Reverse Cross-site Request", ou RCSR, pode ser explorada tanto no navegador Firefox 2, da Fundação Mozilla, quanto no Internet Explorer 7, da Microsoft, e usa os dados salvos de login e senha nos programas para preencher automaticamente os formulários falsos, enviando assim os dados para um hacker.

  • Receba notícias por e-mail
  • Receba notícias por RSS
  • Mande fotos e relatos
  • Participe dos fóruns
  • Troque idéias no Chat
  • Envie sua mensagem

    O Internet Explorer 7 não preencherá automaticamente os campos, a menos que o RCSR apareça na mesma página que o formulário autêntico. Mas, no Firefox 2 o problema parece ser mais grave, já que o Gerenciador de Senhas preencherá qualquer senha salva e seu nome de usuário nos formulários, conforme noticiou o site ZDNet.

    O RCSR já começou a ser explorado na comunidade virtual MySpace.com e, segundo Chapin, pode ser reproduzido também em blogs ou fóruns que permitam o preenchimento de códigos HTML. "Usuários tanto do Firefox quanto do Internet Explorer precisam estar cientes de que suas informações podem ser roubadas desta forma quando visitarem blogs e fóruns em endereços confiáveis", explicou.

    A firma de segurança Netcraft, que descobriu a exploração da falha no MySpace, disse que a página falsa de login estava hospedada dentro dos servidores da própria companhia. Pelo fato de estar hospedada no servidor oficial, e não trazer qualquer sinal de conteúdo externo, a página pode convencer o usuário a enviar novamente seus dados, desta vez, inadvertidamente, para um hacker.

    Para Chapin, os ataques RCSR podem ser mais bem sucedidos que os ataques XSS (de Cross-site Scripting), porque o Internet Explorer e o Firefox não verificam o destino dos dados enviados através de formulário antes que a transferência comece a ser feita, e o navegador não notifica de perigo, porque, afinal de contas, tudo está sendo feito de dentro de um endereço confiável.

    A Fundação Mozilla já trabalha em uma saída para o problema na versão Firefox 2, mas ainda não se sabe se as versões anteriores também são afetadas. Como medida de segurança, é recomendado desativar o recurso para memorizar senhas de sites, que pode ser encontrado no menu Ferramentas > Opções > Segurança.

    De acordo com o site Zone-h, o RCSR poderia ser explorado, inclusive, sem que o formulário aparecesse. Em uma demonstração, após os dados salvos no Gerenciador de senhas, foi possível transmiti-los por um link em uma imagem invisível.

    Chapin afirma que já notificou a Microsoft a respeito do problema, e a companhia respondeu dizendo que já estava ciente da falha, mas que por políticas internas não poderia comentar a respeito de investigações em andamento.
     

    • Magnet