sábado, 30 de maio de 2009
No final da semana passada, após a publicação do resumo na sexta-feira, pesquisadores de segurança criticaram duramente uma decisão da Microsoft: instalar automaticamente uma extensão no Firefox por meio do Windows Update. Para piorar, a extensão ainda permite que alguns programas sejam baixados em um único clique, o que, alegam os pesquisadores, reduz a segurança do navegador da Mozilla. Também no resumo de notícias de hoje: Pidgin ganha nova versão para corrigir falhas de segurança, e um pesquisador alerta para cuidados ao interagir com a API do Twitter.
O pesquisador de segurança Chris Sullo, da fabricante de computadores HP, criticou na sexta-feira passada (22) o plug-in “ClickOnce”, instalado pela Microsoft no Firefox de forma silenciosa. O componente faz parte do framework .NET e, segundo o especialista, reduz a segurança do navegador web da Mozilla, ao permitir que softwares sejam instalados de forma automatizada.
O framework do .NET é necessário para a execução de aplicativos da plataforma de mesmo nome. É um componente quase obrigatório atualmente, e é instalado pelo Windows Update (atualizações automáticas). Além de permitir que os programas “ClickOnce” sejam executados sem a intervenção habitual do usuário, o plug-in ainda envia informações sobre a versão instalada do framework para todos os websites que o internauta visitar.
Sullo publicou um post em um blog de segurança da HP criticando a atitude da Microsoft. Para ele, a empresa não deveria instalar forçosamente uma extensão em um navegador concorrente e, em vez disso, deveria ter colocado o plug-in no site de complementos ("add-ons") da Mozilla, “como todo mundo”.
O especialista da HP cita um texto de fevereiro escrito por Brad Abrams, um blogueiro da Microsoft. Na época – quando a ação da Microsoft já estava causando polêmica – Abrams publicou instruções complicadas de desinstalação, porque não era possível remover o plug-in por meio do próprio Firefox. No início deste mês, a Microsoft disponibilizou uma atualização que deve permitir uma remoção facilitada do componente.
Mas o pesquisador de segurança da nCircle Tyler Reguly foi ainda mais longe em suas críticas. “Eu não sei se horrificado é uma palavra forte o suficiente para expressar como isso me faz sentir. Chocado, enojado... desculpem-me se eu alguma vez defendi a Microsoft no passado... essas são algumas coisas que vêm à mente. Não apenas eles reduziram a segurança do Firefox, eles destruíram minha confiança neles”, escreveu Reguly, que ficou sabendo do incidente após ler o post de Sullo.
O Microsoft .NET Framework Assistant pode ser desativado ou configurado no Firefox no menu Ferramentas > Complementos.
O framework do .NET é necessário para a execução de aplicativos da plataforma de mesmo nome. É um componente quase obrigatório atualmente, e é instalado pelo Windows Update (atualizações automáticas). Além de permitir que os programas “ClickOnce” sejam executados sem a intervenção habitual do usuário, o plug-in ainda envia informações sobre a versão instalada do framework para todos os websites que o internauta visitar.
Sullo publicou um post em um blog de segurança da HP criticando a atitude da Microsoft. Para ele, a empresa não deveria instalar forçosamente uma extensão em um navegador concorrente e, em vez disso, deveria ter colocado o plug-in no site de complementos ("add-ons") da Mozilla, “como todo mundo”.
O especialista da HP cita um texto de fevereiro escrito por Brad Abrams, um blogueiro da Microsoft. Na época – quando a ação da Microsoft já estava causando polêmica – Abrams publicou instruções complicadas de desinstalação, porque não era possível remover o plug-in por meio do próprio Firefox. No início deste mês, a Microsoft disponibilizou uma atualização que deve permitir uma remoção facilitada do componente.
Mas o pesquisador de segurança da nCircle Tyler Reguly foi ainda mais longe em suas críticas. “Eu não sei se horrificado é uma palavra forte o suficiente para expressar como isso me faz sentir. Chocado, enojado... desculpem-me se eu alguma vez defendi a Microsoft no passado... essas são algumas coisas que vêm à mente. Não apenas eles reduziram a segurança do Firefox, eles destruíram minha confiança neles”, escreveu Reguly, que ficou sabendo do incidente após ler o post de Sullo.
O Microsoft .NET Framework Assistant pode ser desativado ou configurado no Firefox no menu Ferramentas > Complementos.
A versão 2.5.6 do Pidgin foi lançada para corrigir “muitos problemas de segurança”, de acordo com as notas de versão divulgadas pelos próprios desenvolvedores. O Pidgin é um programa popular de mensagens instantâneas que permite o uso simultâneo de diversos protocolos de bate-papo como MSN, YIM, Jabber/Gtalk, AIM, ICQ e IRC.
A equipe responsável pelo programa divulgou três novos boletins de segurança descrevendo as vulnerabilidades que foram corrigidas. A brecha que aparenta ser a mais grave era conhecida e já devia ter sido eliminada na versão anterior, mas a correção criada não foi eficaz. Se explorada, a falha poderia permitir execução de código (instalação de vírus) no computador da vítima.
As outras duas brechas foram classificadas pelos desenvolvedores como de “DoS” apenas. Isso significa que um indivíduo mal-intencionado poderia usá-las para travar o programa, mas não para comprometer a segurança do usuário.
A atualização é altamente recomendada para os usuários do programa. A coluna Segurança para o PC já recomendou o uso do Pidgin com Off-the-record Messaging para a criação de um canal seguro de comunicação instantânea.
A equipe responsável pelo programa divulgou três novos boletins de segurança descrevendo as vulnerabilidades que foram corrigidas. A brecha que aparenta ser a mais grave era conhecida e já devia ter sido eliminada na versão anterior, mas a correção criada não foi eficaz. Se explorada, a falha poderia permitir execução de código (instalação de vírus) no computador da vítima.
As outras duas brechas foram classificadas pelos desenvolvedores como de “DoS” apenas. Isso significa que um indivíduo mal-intencionado poderia usá-las para travar o programa, mas não para comprometer a segurança do usuário.
A atualização é altamente recomendada para os usuários do programa. A coluna Segurança para o PC já recomendou o uso do Pidgin com Off-the-record Messaging para a criação de um canal seguro de comunicação instantânea.
O especialista em segurança Aviv Raff alertou para necessidade cuidados ao criar serviços que interajam com o Twitter. Se realizada sem os devidos cuidados, o site ou serviço que receber informações do Twitter pode conter falhas de segurança.
Para interagir com o Twitter, os serviços utilizam a API (Application Programming Interface). Com ela, os sites podem enviar e receber informações do Twitter. Porém, se as informações recebidas não forem filtradas de forma adequada, uma vulnerabilidade pode ser gerada.
Raff deu um exemplo com o Twitpic, que permite a postagem de fotos para o Twitter. O Twitpic pega algumas informações do perfil Twitter do usuário, porém não filtra essa informação. Se um código malicioso fosse colocado no perfil, códigos indesejados poderiam ser executados no navegador do visitante, permitindo, inclusive, a criação de um "vírus" no Twitter, como já aconteceu anteriormente.
A brecha no Twitpic já foi corrigida, mas Raff ressaltou que esse não é um problema isolado do Twitpic ou mesmo do Twitter. É preciso que os desenvolvedores tenham cuidado ao receber informações dos sites de redes sociais para filtrá-las corretamente antes de exibi-las na tela.
Para interagir com o Twitter, os serviços utilizam a API (Application Programming Interface). Com ela, os sites podem enviar e receber informações do Twitter. Porém, se as informações recebidas não forem filtradas de forma adequada, uma vulnerabilidade pode ser gerada.
Raff deu um exemplo com o Twitpic, que permite a postagem de fotos para o Twitter. O Twitpic pega algumas informações do perfil Twitter do usuário, porém não filtra essa informação. Se um código malicioso fosse colocado no perfil, códigos indesejados poderiam ser executados no navegador do visitante, permitindo, inclusive, a criação de um "vírus" no Twitter, como já aconteceu anteriormente.
A brecha no Twitpic já foi corrigida, mas Raff ressaltou que esse não é um problema isolado do Twitpic ou mesmo do Twitter. É preciso que os desenvolvedores tenham cuidado ao receber informações dos sites de redes sociais para filtrá-las corretamente antes de exibi-las na tela.
