Falha zero day é corrigida pela Microsoft

No começo desta semana, os pesquisadores do McAfee descobriram uma falha “Dia Zero” no pacote Office da Microsoft — algo que estava sendo explorado por hackers para a instalação de malwares em computadores de vítimas, por meio de aplicações maliciosas escondidas em arquivos de texto.

Felizmente, na noite de 11/04 a Microsoft conseguiu enviar uma atualização para os aplicativos, corrigindo a brecha no sistema e levando mais segurança aos consumidores. Junto com a atualização, a Microsoft não deu muitos detalhes sobre as correções, mas disse que ela “desabilita certos filtros gráficos” que estavam sendo usados.

Como relatado anteriormente, a falha afetava todas as versões do Microsoft Office, incluindo o Office 2016 (presente no Windows 10).
Em resumo: é melhor permitir aquela atualização que o Windows está querendo fazer no seu pacote Office.

Fonte: Tecmundo

Descoberta e já corrigida importante falha de segurança no Whatsapp e Telegram

Uma companhia de segurança relacionada à informática revelou nesta quarta-feira ter descoberto uma falha nos populares serviços de mensagens Telegram e WhatsApp que permitiria hackear contas de usuários servindo-se do sistema de codificação que supostamente mantém a confidencialidade de suas mensagens.

A companhia americana Check Point Software Technologies afirma em um comunicado que o Telegram e o WhatsApp, alertados por ela no dia 8 de março, resolveram o problema.

Não informou, no entanto, quantas contas puderam efetivamente estar comprometidas, mas afirma que esta falha representava um perigo para “centenas de milhões” de usuários que têm acesso às plataformas a partir de um navegador de internet (em oposição aos que o fazem através de aplicativos móveis propostos pelos dois serviços).

Segundo os investigadores da Check Point, “apenas enviando uma inocente foto, um atacante pode tomar o controle da conta, ter acesso ao histórico de mensagens, a todas as fotos compartilhadas (no serviço), e enviar mensagens no lugar dos usuários”.

O hacker, efetivamente, podia camuflar um vírus na imagem, que era ativado quando o destinatário “clicava” nela.

WhatsApp e Telegram utilizam uma codificação que garante que apenas o expedidor e o destinatário das mensagens possam ver seu conteúdo. Mas, subitamente, os dois aplicativos não tiveram como detectar se este conteúdo inclui vírus.

Para resolver o problema, os dois serviços validam a partir de agora o conteúdo enviado pouco antes de sua codificação, o que permite bloquear o vírus, acrescenta Check Point.

Fonte: Isto é

Apps para guardar senhas com falhas de segurança: correção veio à tempo

SegurançaRecomendados por especialistas em segurança na internet, os gerenciadores de senhas são formas seguras de guardar seus dados de acesso a sites de redes sociais, páginas web e até mesmo internet banking. Era o que se pensava até que eles foram pegos com brechas de segurança que poderiam facilitar o vazamento das suas credenciais.

Um estudo publicado nesta semana por pesquisadores do Instituto Fraunhofer de Tecnologia de Segurança da Informação mostra que 9 apps Android populares que gerenciam senhas são vulneráveis a uma ou mais brechas de segurança.

Foram analisados os seguintes aplicativos: LastPass, Keeper, 1Password, My Passwords, Dashlane Password Manager, Informaticore’s Password Manager, F-Secure KEY, Keepsafe, e Avast Passwords.

Cada um deles tem entre 100 mil e 50 milhões de instalações em smartphones.

Fonte: Exame

Adobe corrige falha crítica do Flash

Adobe-flash-bug-patchA Adobe Systems liberou nos últimos dias atualizações de segurança para diversos produtos, incluindo uma para o Flash Player que corrige uma vulnerabilidade crítica que já é conhecida e explorada por criminosos.

O update do Flash Player corrige um total de 17 vulnerabilidades, sendo que 16 delas são críticas e podem ser exploradas para a execução de código malicioso nos sistemas afetados. Uma dessas falhas, rastreada como CVE-2016-7892 no catálogo Common Vulnerabilities and Exposures (CVE), já está usada por hackers.

A Adobe tem conhecido do relato de que um exploit para a CVE-2016-7892 existe por aí, e está sendo usado em ataques limitados e direcionados contra usuários rodando o Internet Explorer (32-bit) no Windows”, afirmou a empresa – a vulnerabilidade foi revelada de forma anônima para a companhia.

Os usuários do Flash Player no Windows, OS X e Linux devem fazer o upgrade para a recém-lançada versão 24.0.0.186 o mais rápido possível. O plug-in do Flash já embutido ao Chrome e ao Internet Explorer será automaticamente atualizado por meio dos mecanismos de update dos navegadores.

Fonte: IDG Now!

Qualcomm denuncia: Google levou mais de um ano para consertar falha no Android

android_updateO Google passou mais de um ano consciente de uma falha grave na criptografia do sistema operacional do Android antes de lançar uma atualização para consertá-la, de acordo com a Qualcomm. A falha afetada dispositivos com o sistema operacional do Google que usavam processadores da Qualcomm.

Gal Beniamini, um pesquisador de segurança digital, revelou as falhas de segurança em seu blog, e foi pago pelo Google por meio de seu program de recompensa. O aspecto central do problema é que os dispositivos Android com processadores Qualcomm guardam suas chaves de criptografia no software, e não no hardware. Os detalhes da falha podem ser lidos no blog do pesquisador.

No entanto, a Qualcomm disse ao TechCrunch que já tinha informado o Google sobre as falhas descritar por Beniamini desde agosto de 2014. A Qualcomm ainda alegou ter enviado ao Google atualizações que poderiam corrigir o erro em novembro de 2014 e fevereiro de 2015.

As atualizações do Google para o Android, no entanto, só foram lançadas a partir do começo de 2016. Foi apenas por conta desse atraso que Beniamini conseguiu reportar novamente as mesmas falhas que a Qualcomm já havia reportado.

Milhares de aparelhos

O motivo pelo qual o Google levou tanto tempo para resolver o problema não ficou claro. O TechCrunch especula que a empresa só conseguiu perceber de fato como a falha apontada pela Qualcomm poderia ser explorada por hackers após Beniamini realizar a sua demonstração.

Outra possibilidade para o atraso seria a enorme variedade de aparelhos e fabricantes que utilizam o sistema operacional da empresa. Essa variedade faz com que haja diferenças na implementação do Android por parte de cada fabricante, o que faz com que a empresa leve mais tempo para criar uma correção que atenda a todos.

Essa variedade também faz com que o Google tenha uma abordagem diferente sobre segurança. A empresa pretende usar inteligência artificial para melhorar sua detecção de falhas de segurança, e por isso usa soluções de segurança baseada em software. Medida de segurança baseadas em hardware poderiam proteger mais diretamente seus dispositivos, mas dificultariam a vida das empresas que usam seu sistema.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital

Saiu correção para falha mais recente do Adobe Flash Player

Adobe-flash-bug-patchUma nova falha de segurança no Flash Player foi descoberta há poucos dias e fez com que a Adobe corresse contra o tempo para liberar uma nova atualização obrigatória para aqueles que ainda utilizam o plugin em seus navegadores.

Quem descobriu a nova falha foi uma equipe de segurança da Kaspersky Lab. Segundo os especialistas da empresa, é altamente recomendado que todos atualizem imediatamente o plugin, já que grupos de crackers já estão explorando a falha para prejudicar os usuários e aplicar golpes.

A brecha de segurança é considera grave e afeta todos os sistemas operacionais compatíveis com o Flash. Ela permite que invasores em potencial assumam o controle total do sistema a partir de um arquivo SWF malicioso.

Segundo a Kaspersky Lab, no melhor dos casos o arquivo contaminado pode levar apenas a queda momentânea do sistema operacional. Há relatos, no entanto, que grupos de crackers já teriam explorado a falha, deflagrando ataques em países como Rússia, Coreia do Sul, China, Índia, Kuwait e Romênia.

Ainda não se sabe se alguém chegou a ser prejudicado no Brasil. Nesses países, a maioria dos ataques se concentraram em empresas de grande porte.

Mesmo assim, o ideal é que todos atualizem o plugin aplicando o update disponibilizado no site da Adobe.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

 

Fonte: Canaltech

Ubuntu apresenta falhas de segurança

UbuntuOs 15 problemas encontrados foram corrigidos. Nenhum deles era de extrema gravidade, o mais sério deles, o CVE-2015-8767, que permite que o computador seja comandado remotamente.

Falhas de segurança foram identificadas no kernel (núcleo) do Ubuntu, que é desenvolvido pela Canonical. No total, 15 problemas estavam afetando as edições 12.04, 14.04 e 15.10 do sistema operacional.

A boa notícia é que eles podem ser corrigidos com uma atualização do componente. As falhas foram descritas em avisos de segurança do Ubuntu, que apresentam os riscos de continuar usando o sistema operacional sem a devida atualização. Os problemas foram descobertos por desenvolvedores e hackers de Linux.

A Canonical toma providências

Os 15 problemas encontrados foram corrigidos. Nenhum deles era de extrema gravidade, o mais sério deles, o CVE-2015-8767, que permite que o computador seja comandado remotamente, dando chances ao invasor de travar toda a máquina. As outras brechas não são consideradas portas de entrada para invasores, apenas permitem que informações possam ser surrupiadas por hackers. A Canonical esclarece que para corrigir o problema é necessário realizar a atualização do sistema.

O processo é bastante simples, basta que seja usado um comando dentro do Terminal para dar ordem de pedido do update: sudo apt-get update && sudo apt-get dist-upgrade O comando acima irá fazer com que se inicie o processo de atualização do Ubuntu. Assim, o sistema operacional irá buscar por pacotes atualizados em repositórios de confiança para vários aplicativos e recursos, bem como ampliar as modificações oficiais do kernel que são feitas pela Canonical.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Oficina da Net