Notícias

Chrome e Firefox – Falha permite clickjacking

28 Comentários

Foi descoberta no Chrome uma falha de segurança que expõe o navegador do Google a potenciais ataques por clickjacking. Uma equipa de analistas de segurança concluiu que este browser permite que sejam substituídos os links legítimos por outros à escolha dos atacantes.


Entretanto o Google informou do conhecimento da falha e que está já a trabalhar na correcção que resolverá o problema na versão do Chrome 1.0.154.43 e anteriores, sobre o Windows XP SP2.

Este tipo de ataque leva a que os utilizadores façam determinadas acções que não tinham intenções de fazer, legitimando todo o ataque pois parte do browser por nossa iniciativa.

Surgiram posteriormente a esta descoberta, informações veiculadas pelo porta-voz da empresa de segurança da filial australiana, dando conta que a falha é extensiva a outros browsers e não apenas ao Chrome.

Contudo o chefe executivo, Nishad Herath, da empresa de segurança e consultadoria Novologica, afirmou que depois de executar o processo que gerou a prova de ataque descobriu que o Internet Explorer 8 (versão RC1 e Beta 2) e o Opera 9.63 (a última versão) não estavam expostos a esta falha de segurança. Concluiu então que esta falha estava a afectar o Chrome e o Firefox 3.0.5.

Mais informações: ZDNet

PUB
Autor: Vítor M.
Partilhar:
Tags:

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Artigo anterior

Hofmann Digital Album 6.1
Próximo artigo

TeamViewer 4.0 Build 5543
PUB

Comentários

28

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Bruno Bernardino
    Bruno Bernardino

    Boa 🙂

    Hoje ou amanhã já sai um patch e um upgrade 🙂

    Responder
  2. Avatar de Diogo.AOS
    Diogo.AOS

    E para quem usa as versões beta e afins do Chrome, essa falha já tinha sido corrigida ou estão igualmente expostos?

    Responder
  3. Avatar de m00nbl00d
    m00nbl00d

    Bem, afinal parece que estes males, não assombram apenas o Internet Explorer.

    Caso fosse uma notícia sobre o IE, já cá estariam as más críticas, não é verdade? Como não é… 😀

    Responder
  4. Avatar de Helguera
    Helguera

    saia uma nova release do fox….. o resto é conversa xD

    Responder
  5. Avatar de EacHTimE
    EacHTimE

    E o IE7 afecta? aí não diz… eu não uso mas tenho curiosidade.. lol

    Enfim.. todos os browsers têm falhas.. desde que as corrigam rapidamente tudo bem.

    Responder
  6. Avatar de Vítor M.
    Vítor M.

    Diogo.AOS a nova versão beta não é referenciada.no entanto também não é ilibada.

    Em relação ao IE8… a Microsoft depois de reformular determinadas politicas relacionadas com os seus produtos, mais concretamente após o fim do período Windows XP e Internet Explorer 6, lançou novas versões onde a segurança estava no topo da lista de prioridades.

    Não é ao acaso que vemos um Windows Vista com alguns anos de mercado e com pouquíssimas falhas de segurança, sendo que graves creio que não houve nenhuma.

    O mesmo se passa com o seu browser. Desde a saída do Internet Explorer 7 que as falhas de segurança não têm significado face, por exemplo, as ocorridas no Firefox.

    O Internet Explorer 8 será, a meu ver, o browser que terá o melhor resultado tendo em conta o binómio n.º utilizadores vs falhas de segurança.

    Posso a antever mesmo e não sou utilizador IE, eu maioritariamente utilizo FF, que o IE8 será o mais seguro browser de sempre.

    Depois há a questão que a Microsoft também limou, que são as respostas à falhas ocorridas. Serão mais rápidas, expondo menos os seus utilizadores aos perigos.

    À medida que o Chrome for ganhando mercado, é provável que outras mais apareçam, pelo facto deste browser ser ainda muito jovem.

    Responder
  7. Avatar de Pedro F.
    Pedro F.

    Vítor M., tens razão no que dizes quanto à Microsoft ter colocado a segurança no topo das suas prioridades (pelo menos em termos de anúncios por parte da empresa, não tenho conhecimento da realidade interna).

    No entanto tenho as minhas dúvidas que isso se traduza em mais segurança, especialmente sabendo a história passada da Microsoft, com alguns fixes para “security issues” menores terem de esperar até um Service Pack até serem corrigidos (lamento, não me recordo qual foi, sei que não era uma falha importante mas mesmo assim era uma falha de segurança). Sem dúvida lá tiveram as suas razões, mesmo assim parece-me um pouco hipócrita.

    De qualquer maneira, deixo-te aqui uns links que julgo que serão do teu interesse. Devo sublinhar que IE7 e Firefox 2 foram ambos lançados em Outubro de 2006:

    http://secunia.com/advisories/product/12366/
    http://secunia.com/advisories/product/12434/

    IE7: Unpatched 27% (9 of 33 Secunia advisories)
    Firefox2.x: Unpatched 10% (3 of 29 Secunia advisories)

    e agora o que me surpreendeu, pensei que estivesse com algumas falhas:
    Google Chrome:
    Unpatched 0% (0 of 0 Secunia advisories)
    [ http://secunia.com/advisories/product/20760/ ]

    Inteh 🙂

    Responder
  8. Avatar de jmtdstoc
    jmtdstoc

    Para evitar ataques via “clickjacking” e outros que envolvam “Javascript”, “Java” ou outros tipos de “códigos” tenho 2 palavras para dizer: FIREFOX + NOSCRIPT (add-on para o Firefox).
    Não precisam de mais nada, além de bom senso, claro 🙂 .

    Responder
  9. Avatar de paulf
    paulf

    Se querem ter segurança a navegar: Opera 🙂

    Até aqui o grande massacrado tem sido o IE, mas a partir de agora os outros é que vão começar a ver como elas doem… É uma consequência natural e não há como evitar isso, a não ser através de actualizações de segurança muito regulares e é preciso que os utilizadores as instalem com a rapidez exigida!! A maior parte das pessoas nem sabe que existem estes perigos, não sabe que as actualizações são muito, mas muito importantes, por isso é que as ameaças se propagam com facilidade.

    Responder
  10. Avatar de paulf
    paulf

    @Vítor M.
    Eu agora uso o Opera ainda, mas comecei a utilizar o IE 8 muitas vezes também 🙂 Está muito rápido! Não sei se nos testes ficará em último lugar comparado com os outros browsers, mas pelo menos, aparentemente, está muito rápido.
    E lá está, na segurança, o IE desde sempre que é muito atacado.

    Responder
  11. Avatar de CáVai
    CáVai

    @paulf:

    Segurança online é uma ilusão.

    Para teres noção aqui tens o changelog do Opera.
    Verás que foram corrigidas 8 falhas de segurança.

    Não me interpretes mal; tenho um grande respeito pelo Opera, apesar de não ser o browser que normalmente uso.

    A questão é que não existe nenhum software sem defeitos, e a web é , hoje em dia, o alvo preferido dos hackers e afíns.

    Quanto ao IE, acho que as pessoas têm tendência para ver apenas aquilo que querem. Sim, o IE é um browser inseguro, mas não por causa das falhas de segurança; o IE é inseguro porque é um programa demasiado explorado.

    Digam as pessoas o que disserem, a pirataria é hoje um negócio e, quando se trata de negócio, mais vale apostar nas grandes massas, pois é isso que dá realmente lucro.

    Além disso, sou obrigado a concordar com o @jmtdstoc; o Firefox com o Noscript oferece uma navegação mais segura do que qualquer outra solução, excepto, talvez, a utilização de uma Sandbox.

    Responder
  12. Avatar de Miguel Guerra
    Miguel Guerra

    É claro que não há browsers “inpenetráveis”. Só que aqui, foram os especialistas de segurança a descobrir a falha. É neste aspecto que acho o Firefox um browser seguro. As falhas são rapidamente descobertas e corrigidas.

    Responder
  13. Avatar de M. Gomes
    M. Gomes

    O curioso disto tudo é que este truque já é conhecido há uns bons anos, é bastante utilizado para customizar botões de upload em formulários web:

    http://www.shauninman.com/archive/2007/09/10/styling_file_inputs_with_css_and_the_dom

    comparem o resultado desta página: http://www.shauninman.com/assets/examples/styling-file-inputs/ no opera e no firefox.

    O engraçado (deste artigo) é só se terem lembrado agora que o mesmo pode ser aplicado a botões normais.
    Bom, é o preço a pagar por ter coisas bonitas.

    Responder
  14. Avatar de viperbruno
    viperbruno

    @M. Gomes

    Em todos os browsers tem um resultado diferente. O ie8 (8.0.7000) mostra apenas um botao (choose file) enquanto que o opera mostra a barra e o botao (chosse…)
    Ja foi fanboy do FF mas como a sua evolucao e pouca em relacao aos restantes tenho deixado para o lado. Espero que o futuro do firefox seja melhor, desde que o pessoal comecou a usa-lo muito, ja comecam a quer tambem ataca-lo. Comecei a usa-lo quando estava na versao 1.5 e ai ganhava e muito ao ie6.

    Responder
  15. Avatar de Sara Canelas
    Sara Canelas

    E um erro que existe no firefox desde que saiu a versão 3.0.
    Ainda de manha deixei pessoal aceder as suas contas pessoais a partir do meu portatil e sem querer vi as suas passwords.

    Good Work!
    Mesmo assim e bom alertar o pessoal destes perigos.
    Excelente site.

    Cumprimentos

    Responder
  16. Avatar de Nelson N
    Nelson N

    Também utilizei o FF quando o vi há anos quando vi o suplemento do jornar 24 Horas, e nunca mais lhe toquei precisamente pelo motivo parecido com o da Sara Canelas. “Dizia-lhe constantemente para não guardar senhas do banco e da Sta Casa, mas quando ia verificar lá estavam elas. De notar que durante o primeiro ano de vida o FF não teve nenhum ataque ou falha; acho que não é necessário dizer porque.
    Já vi aqui alguém dizer que o FF sem addons ou suplemtos nao vale nada; outros que não o largam precisamente por causa destes, e eu acho que quantos mais addnos ou supl. tiver “agarrados” mais vulnerável se torna. Todos esses addons são criados pela Mozzila? Por ex. o Kis diz que o Adobe Flash que está com o opera Portabele é vulverável. Estou como diz o CáVai “Segurança online é uma ilusão”.

    Responder
  17. Avatar de Jaime
    Jaime

    Para questões de segurança façam como eu e passem a enviar mensagens
    e outras coisas de segurança por “Pombo Correio”, não esquecendo
    porém de só utilizar este processo fora da época da caça aos mesmos.
    Desculpem isto é só stress da iminência de mais um fim de semana !

    Responder
  18. Avatar de André Lopes
    André Lopes

    Nada mesmo melhor que o Opera.
    Nenhum programa é infalivel mesmo, mas o que importa é o tempo de demora para correcção. O facto de antes de a falha ser publicada, a falha ser corrigida (rapidez na correcção das falhas de segurança) é uma excelente razão para escolha do Opera.

    Não será por alguma razão, que alguns ex-responsaveis do Firefox estarem a trabalhar neste momento no Opera.

    Algo não deve estar bem no seio da Mozzila.

    Responder
  19. Avatar de Hugo Almeida
    Hugo Almeida

    Um software que não tenha bugs conhecidos só significa uma coisa… ainda não foi suficientemente testado. 😉

    Responder
  20. Avatar de Spulva
    Spulva

    LOLOL, curti ca fode, e digo so uso firefox e o chrome aqui no meu pc velhinho, na tou habituado ao IE, mas tipo, se fosse uma falha no IE era o cu do judas AIII E TALLL COISO BLA BLA BLA, agora nao é. AHH E TAL QUE VENHA O UPDATE, so visto mesmo…

    keep gooing

    Responder
  21. Avatar de Pedro
    Pedro

    Concordo plenamente com o Spulva.
    Se fosse o IE este artigo ja tinha uns 40 comentários..

    http://www.futeboltuga.com/forum/

    Responder
  22. Avatar de carlosmc
    carlosmc

    Há muito que digo que os pop-under são piores que os pop-ups, mas “ninguém” me ouve…

    Responder
  23. Avatar de Vítor I
    Vítor I

    As falhas de segurança afectam regularmente todos os navegadores. A atitude perante as necessárias correcções é que varia.
    Tipicamente o Opera é actualizado ao fim de um dia, o Firefox e o Chrome numa semana, O IE demora meses (anos, em algumas situações) até ter uma correcção de segurança.

    Responder
  24. Avatar de alberto
    alberto

    @Sara Canelas: isso não é um bug. Basta usar a senha mestra do Firefox que ninguém terá acesso as demais senhas. O Chrome também faz isso, nas opções há um botão “Mostrar senhas salvas” (versão pt-BR).

    Responder
  25. Avatar de Iu
    Iu

    Quanto às senhas no Mozilla Firefox… bem vão a “Ferramentas” > “Opções” > “Segurança” e aí retirem a selecção da opção “Memorizar as senhas para os sítios”.
    Vão ver que podem utilizar o browser sem correr o risco de ele guardar as vossas senhas!
    Para uma maior segurança, façam o que já foi aconselhado por aí (e que eu já faço à algum tempo!) usem o NoScritpt (https://addons.mozilla.org/pt-PT/firefox/addon/722.

    Responder
  26. Avatar de BigLord
    BigLord

    Como já disse muito boa gente… Usem o NoScript por amor de Deus. Até é mencionado no artigo da Wikipedia sobre o Click Jacking como a única coisa realmente capaz de o evitar a 100%.

    Por outro lado aposto que a equipa que fez o NoScript é que editou essa parte do artigo 😛

    Responder
  27. Avatar de Blizard
    Blizard

    Desde que seja corrigido em pouco tempo tudo bem….
    Software e mesmo assim…

    http://truquestelemoveis.blogspot.com/

    Responder
  28. Avatar de Sharp Random
    Sharp Random

    Com Firefox 3.0.5.portable + noscript 1.9 vamos a qualquer lugar.

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.