Falha no Chrome possibilita a terceiros vasculhar arquivos no PC

A Google revelou no dia 06 de março uma vulnerabilidade no navegador Chrome que praticamente abria as portas do computador para um hacker malicioso.

A Google já corrigiu a brecha e todos os navegadores devem estar atualizados com a última versão disponível.

A vulnerabilidade zero-day (CVE-2019-5786) foi corrigida na versão 72.0.3626.121 do Chrome. Segundo anúncio da empresa, a falha já estava sendo explorada por atacantes antes da correção — por isso, garanta que seu Chrome está atualizando em ‘Menu’, ‘Ajuda’ e ‘Sobre o Google Chrome”.

Confira agora se o seu Chrome está com a última versão instalada

Segundo a empresa, a vulnerabilidade é um erro no gerenciamento de memória do FileReader no Chrome. O FileReader é a API responsável por permitir que aplicativos web acessem o conteúdo de arquivos armazenados no computador de um usuário. A brecha vinha acontecendo quando um app web tentava acessar a memória após ler liberado ou apagado da memória alocada do Chrome.

Com esta brecha, cibercriminosos poderiam escalar privilégios dentro do sistema operacional e ler o conteúdo de arquivos no computador de uma vítima. Ou seja: tudo que é mais pessoal e sensível.

Ainda não foram divulgados muitos detalhes sobre a vulnerabilidade. A Google já atualizou automaticamente os navegadores Chrome, contudo, garanta que o seu aparece com a mesma versão abaixo — se não aparecer, faça uma atualização na página oficial do Chrome.

Fonte: Tecmundo

85% das extensões para o Chrome não contam com política de privacidade

O grande problema é que mesmo que a extensão tenha uma ótima intenção – e aplicação – para acessar essas informações, ela pode ser hackeada

A análise da Duo Security também descobriu que cerca de 32% das extensões do Google Chrome usam bibliotecas de terceiros com vulnerabilidades de segurança e 77% não possuem um site de suporte onde o usuário poderia entrar em contato com os desenvolvedores ou tirar dúvidas sobre segurança.

Nas mãos de terceiros…

Mesmo com as extensões pedindo permissão para os usuários para acessar seus dados privados, é bom lembrar que a prática não fornece segurança, pois a grande maioria das pessoas não presta atenção nesse tipo de notificação e aceita simplesmente como processo para poder usufruir do serviço desejado. O grande problema é que mesmo que a extensão tenha uma ótima intenção – e aplicação – para acessar essas informações, ela pode ser hackeada ou adquirida por um sujeito mal-intencionado. É aí que o perigo mora.

A ferramenta criada pela Duo Security pode ser acessada por meio deste link. Lá, você insere na caixa de texto de busca o ID da extensão (uma série aleatória de números e letras encontradas na URL do programa) e o site mostra uma série de detalhes sobre ela, dando uma espécie de nota de acordo com o quão arriscado é usá-la.

Fonte: Tecmundo

Chrome 71: mais segurança

chromium71O Google revelou nesta semana que o ainda inédito Chrome 71, que deve chegar em dezembro, vai ampliar o cerco da empresa contra os chamados “anúncios abusivos”. Isso porque a próxima versão do browser da gigante de buscas vai bloquear todos os anúncios dos sites que exibem esses conteúdos publicitários.

“A partir de dezembro de 2018, o Chrome 71 vai remover todos os anúncios no pequeno número de sites com experiências abusivas persistentes”, afirma o Google no blog do projeto Chromium, que funciona como base para o seu navegador, o mais usado no mundo, à frente de serviços da Microsoft e Mozilla.

Na página, o Google dá alguns exemplos do que seriam essas experiências abusivas, que incluem botões que apresentam um comportamento diferente do prometido quando são clicados pelos usuários – como um botão de play que inicia um download indesejado ou um botão de fechamento (“X”) que abre outras janelas.

Prazo de 30 dias

A companhia de Mountain View destaca ainda que os donos de sites poderão usar um serviço chamado Abusive Experiences Report, presente no Google Search Console, para verificar se as suas páginas possuem essas experiências consideradas abusivas.

De acordo com a empresa, os donos dos sites terão um prazo de 30 dias para corrigir esses problemas relatados antes que o Chrome comece a bloquear anúncios.

Fonte: IDGNow!

Chrome irá ocultar https da barra de endereços

O alerta de “Seguro” na barra de navegação para indicar sites com o protocolo HTTPS será abandonado ao longo do tempo. Agora, parece que a Google também vai retirar a exibição desse protocolo da mesma barra, segundo o MSPowerUser.

A mudança aparece na versão 70.0.3538.4 do Google Chrome. Como o site nota, essa mudança serve apenas para domínios HTTP, e não endereços FTP. Ainda não é uma certeza de que isso chegará ao usuário final, contudo, se vier, espere algo para outubro.

Fonte: Tecmundo

Firefox e Edge são alvo de sabotagem

Bem, ao que parece, as multas bilionárias impostas pela União Europeia à Google, sob acusação de monopólio e competição desleal no mercado, não surtiram assim grande efeito na política interna da companhia. Muitos usuários podem achar que o navegador da empresa de Mountain View, o Chrome, é uma maravilha para rodar o YouTube, quando comparado com os maiores concorrentes, o Microsoft Edge e o Mozilla Firefox. Mas… isso seria apenas resultado de uma “maquiagem” realizada pela Gigante das Buscas.

De acordo com uma dica encontrada pelo pessoal do MS Power User no Reddit, a plataforma de streaming estaria funcionando até cinco vezes mais devagar no Edge e no Firefox. O Gerente Técnico de Programa da Mozilla, Chris Peterson, confirma a “sabotagem”. Ele diz que a Google vem utilizando um Polymer (biblioteca de JavaScript) redesenhado que só funciona de forma otimizada com o Chrome. Como resultado, o tempo de carregamento fica na proporção de 5 segundos para 1 segundo na comparação entre os browsers.

Essa “tática” vem sendo duramente criticada, principalmente porque a Google provavelmente testou o redesign do Polymer no YouTube com o Edge e o Firefox. Ou seja, a companhia deve estar bem ciente de que isso acontece.

Como solução, usuários do Reddit vêm apontando para uma extensão do Firefox, chamada de YouTube Classic. O complemento desativa a nova versão.

  • Já quem prefere o Edge, pode fazer o seguinte:
  • Abra o YouTube.com
  • Abra o Modo de Desenvolvedor com o F12
  • Clique na aba de Aplicações
  • Clique em Cookies e selecione youtube.com
  • Uma tabela deve aparecer, encontre a coluna “Nome” e a fileira “PREF” e cole o seguinte na caixa de valores: al=en&f5=30030&f6=8

Em seguida, é só recarregar a página do YouTube e visualizar a interface anterior

Bem, como a projeção é de o Chrome deve alcançar 80% do mercado de navegadores até 2023, pode ser que mais uma multa antitruste esteja a caminho, caso a Google não mude sua postura perante a concorrência.

Agradecemos ao Celso, colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Atualização de Abril do Windows 10 causa travamentos no Chrome

Depois de uma enxurrada de reclamações em tópicos do Reddit e em fóruns de suporte do Windows, a Microsoft reconheceu na última quarta-feira (02) que a grande atualização de abril de 2018 do Windows 10 de fato é “incompatível” com o Google Chrome, o navegador web mais utilizado no mundo.

Depois de fazer a instalação da atualização que foi liberada nesta semana, vários usuários reportaram que não conseguem usar o navegador da Google, pois ele trava e congela a tela inesperadamente com certa frequência. A única forma de voltar a usar o computador depois desses travamentos seria reiniciando a máquina ou utilizar uma das recomendações da própria Microsoft.

Em um computador com teclado físico, a Microsoft explica que é possível destravar o sistema fazendo a seguinte combinação: Windows+Ctrl+Shift+B. Quem estiver usando um tablet pode solucionar o problema apertando os dois botões de volume laterais juntos três vezes seguidas em um espaço de dois segundos. É possível também apenas fechar a tampa do notebook e abri-la novamente alguns segundos depois.

Como esse bug passou pelos Insiders?

Esse mesmo problema de travamento de apps no Windows 10 com a grande atualização de abril de 2018 (versão 1803) também pode acontecer com a própria Cortana, o que nos leva a pensar como duas aplicações populares como essas não foram devidamente testadas nas versões preliminares da atualização.

Microsoft prometeu consertar o problema com uma atualização que será liberada na próxima terça-feira, dia 08 de maio

Afinal, a Microsoft tem um programa de testadores com mais de 10 milhões de pessoas conferindo as novas versões do Windows antes de elas chegarem ao consumidor final. Dessa maneira, podemos imaginar que o bug foi causado por alguma coisa nova que a empresa fez no SO, depois de ter recebido todo o feedback dos Insiders.

Seja como for, a Microsoft prometeu consertar o problema com uma atualização que será liberada na próxima terça-feira, dia 08 de maio. Até lá, quem já atualizou o sistema terá que decorar a sequência de teclas para o destravamento ou deixar o Chrome de lado por alguns dias.

Fonte: Tecmundo

Microsoft disponibiliza extensão contra phishing para o rival Chrome

A Microsoft cedeu um ativo e tanto do seu navegador Edge para o rival Chrome ao lançar uma extensão que amplia as habilidades de detecção de phishing do browser do Google.

A empresa de Redmond não teve muita escolha, conforme aponta um analista da consultoria Directions chamado Michael Cherry. “Phishing é um problema enorme, e as pessoas vão usar o navegador que costumam usar. Eles estão fazendo isso para proteger o ecossistema do Windows.”

Chamada de Windows Defender Browser Protection (WDBP), a extensão gratuita em questão pode ser adicionada ao navegador Google em máquinas Windows ou macOS, e após uma correção, também no Chrome OS.

Assim como as ferramentas de defesa embutidas no Edge, o novo add-on se baseia na tecnologia SmartScreen, da Microsoft, que avisa aos usuários sobre sites potencialmente maliciosos que possam tentar baixar malware no computador ou sobre sites linkados em e-mails que levam a URLs de phishing desconhecidas.

A Microsoft mantém uma lista em constante alteração nos seus servidores sobre esses destinos provavelmente ruins – essa relação é gerada em parte a partir de telemetria enviada pelos usuários da SmartScreen.

Pelo menos, é o que parece que a WDBP faz. A Microsoft não registrou a operação da extensão além de algumas informações gerais no seu site e da descrição sobre a solução na Chrome Web Store. Na segunda, a companhia diz o seguinte: “Se você clicar em um link malicioso em um e-mail ou navegar até um site feito para te enganar a revelar informações financeiras, pessoais ou outros dados sensíveis, ou até um site que hospede malware, a Windows Defender Browser Protection vai verificar isso em relação a uma lista atualizada de URLs maliciosas de conhecimento da Microsoft.” Isso é a SmartScreen.

Ajudando o rival

Mas por que a Microsoft cedeu uma das poucas vantagens do Edge para um navegador rival?

Cherry acredita que a Microsoft se encontrou em uma posição difícil: proteger a maioria dos usuários Windows ou apenas aqueles rodando o Edge (ou a versão obsoleta e de legado do Internet Explorer)? “O Edge não conseguiu se popularizar”, destaca o analista, sobre os números baixos do navegador do Windows 10. “Mas se as pessoas forem vítimas de phishing, elas não vão apontar o dedo para o navegador, que é apenas um aplicativo. Elas vão questionar a Microsoft: ‘Por que vocês não protegeram o Windows?’ Esse é apenas um movimento de auto-defesa.”

O Edge, que está se aproximando do seu terceiro aniversário, não conseguiu atrair um público significativo. Os dados mais recentes da empresa de pesquisas Net Applications colocam o Edge com apenas 4% do mercado de browsers – e somente 13% entre as máquinas com Windows 10. Enquanto isso, o Chrome é o browser usado por 61% da população on-line no mundo.

Outras razões para a Microsoft compartilhar a sua tecnologia com o navegador do Google

Com o Edge e o IE respondendo por uma pequena fatia dos internautas – a Net Applications registrou em março que os dois combinados alcançaram 18% – a Microsoft não estava recebendo a quantidade de dados telemétricos, cruciais para a SmartScreen, que costumava receber antes.

“A explicação mais simples sobre a motivação para a Microsoft oferecer a SmartScreen no Chrome é que isso dá à companhia visibilidade sobre as coisas ruins encontradas pelos 60% do mercado que usam o Chrome”, explicou o especialista da companhia de segurança Sophos, John Dun. “Isso, por outro lado, ajuda o serviço de e-mail Office 365 Exchange, da Microsoft, a oferecer uma proteção melhor para competir com o pacote G Suite, do Google.”

Opinião do seu micro seguro: fiz uso dessa extensão e não verifiquei vantagens quando comparada à detecção nativa de sites de phishing já realizada pelo recurso nativo do próprio Chrome.

Fonte: IDGNow!