Falha de segurança: navegadores Edge e Safari

Uma falha de segurança identificada no Microsoft Edge e no Safari permitia que cibercriminosos enganassem usuários desses dois navegadores web de uma maneira relativamente fácil. Rafay Baloch, um pesquisador de segurança digital independente, percebeu que era possível recarregar e redirecionar uma página web para outro site sem que a barra de endereços desses dois navegadores fossem alteradas.

Em outras palavras, um hacker poderia criar um site fictício de algum portal de banco ou qualquer outra plataforma online de valor e redirecionar os visitantes para endereços forjados sem que eles pudessem ver a verdadeira URL no topo da página. Com isso, um site qualquer poderia se passar por um site de uma instituição financeira, por exemplo, a fim de roubar dados bancários de seus clientes.

Esse problema foi reportado tanto para a Microsoft quanto para a Apple no começo de junho deste ano. A empresa de Bill Gates corrigiu o problema em agosto, mas a Apple sequer respondeu Baloch.

Dessa forma, até esse momento, o Safari continua vulnerável, enquanto o Edge já não permite que golpes explorando essa falha atinjam seus usuários. Baloch explicou que esperou o tradicional prazo de 90 dias antes de divulgar a falha, a fim de evitar que usuários fossem prejudicados, mas a Maçã parece não ter se importado com a divulgação dos detalhes por parte do pesquisador.

A empresa de Tim Cook ainda não falou oficialmente sobre o caso, e não sabemos quando nem se esse problema será corrigido no Safari.

Fonte: Tecmundo

Firefox e Edge são alvo de sabotagem

Bem, ao que parece, as multas bilionárias impostas pela União Europeia à Google, sob acusação de monopólio e competição desleal no mercado, não surtiram assim grande efeito na política interna da companhia. Muitos usuários podem achar que o navegador da empresa de Mountain View, o Chrome, é uma maravilha para rodar o YouTube, quando comparado com os maiores concorrentes, o Microsoft Edge e o Mozilla Firefox. Mas… isso seria apenas resultado de uma “maquiagem” realizada pela Gigante das Buscas.

De acordo com uma dica encontrada pelo pessoal do MS Power User no Reddit, a plataforma de streaming estaria funcionando até cinco vezes mais devagar no Edge e no Firefox. O Gerente Técnico de Programa da Mozilla, Chris Peterson, confirma a “sabotagem”. Ele diz que a Google vem utilizando um Polymer (biblioteca de JavaScript) redesenhado que só funciona de forma otimizada com o Chrome. Como resultado, o tempo de carregamento fica na proporção de 5 segundos para 1 segundo na comparação entre os browsers.

Essa “tática” vem sendo duramente criticada, principalmente porque a Google provavelmente testou o redesign do Polymer no YouTube com o Edge e o Firefox. Ou seja, a companhia deve estar bem ciente de que isso acontece.

Como solução, usuários do Reddit vêm apontando para uma extensão do Firefox, chamada de YouTube Classic. O complemento desativa a nova versão.

  • Já quem prefere o Edge, pode fazer o seguinte:
  • Abra o YouTube.com
  • Abra o Modo de Desenvolvedor com o F12
  • Clique na aba de Aplicações
  • Clique em Cookies e selecione youtube.com
  • Uma tabela deve aparecer, encontre a coluna “Nome” e a fileira “PREF” e cole o seguinte na caixa de valores: al=en&f5=30030&f6=8

Em seguida, é só recarregar a página do YouTube e visualizar a interface anterior

Bem, como a projeção é de o Chrome deve alcançar 80% do mercado de navegadores até 2023, pode ser que mais uma multa antitruste esteja a caminho, caso a Google não mude sua postura perante a concorrência.

Agradecemos ao Celso, colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Brechas no Edge possibilitam o escape de máquinas virtuais

Durante a competição hacker Pwn2Own, realizada nas últimas semanas, diversos pesquisadores mostraram como falhas no Microsoft Edge podem ser usadas para realizar uma série de atividades inesperadas.
No caso, o foco foi conseguir “escapar” dos limites impostos pela máquina virtual VMware Workstation.

Entre aqueles que conseguiram abusar das brechas de segurança do navegador estão a empresa chinesa Qihoo 360 Security, que ganhou US$ 105 mil ao explorar três bugs do software. “Eles sucederam ao fazer um heap overflow no Microsoft Edge, uma confusão de digitação no kernel do Windows e um buffer não inicializado na VMware Workstation”, explica a Zero Day Initiative (ZDI).

A Tencent Security também conseguiu um feito semelhante explorando um bug de lógica presente no Edge durante o primeiro dia de competição. A companhia voltou a demonstrar sua capacidade durante o último dia do evento, usando uma cadeia de três bugs para ganhar permissões dentro da máquina virtual e sair dela — o que rendeu US$ 100 mil à equipe.

Preocupação crescente de segurança

Esses feitos fizeram com que a 360 Security e a Tencent Security ganhassem, respectivamente, o primeiro e o segundo lugar da competição. O que torna as ações dignas de atenção é o fato de que máquinas virtuais são cada vez mais importantes para corporações que não querem que todas as pessoas conectadas a um servidor tenham acesso a informações delicadas.

2017 marca o primeiro ano do Pwn2Own em que pesquisadores de segurança visam à tecnologia, demonstrando que não há nada conectado à internet que seja 100% seguro. Além do Edge, softwares como o Flash, o kernel do macOS, o Safari e o Ubuntu foram usados como base dos métodos necessários para explorar brechas de segurança.

Fonte: Tecmundo

Microsoft busca forçar usuários a trocar o Chrome pelo Edge

msn_shop_assistA Microsoft fez um grande esforço para convencer os usuários do Chrome e de outros navegadores a mudarem para o Edge, mas esse browser, até o momento, não tem conseguido cooptar muita gente. Agora, a empresa parece estar com uma nova estratégia para, pelo menos, fazer os usuários do Chrome usarem uma extensão feita pela empresa.

De acordo com relatos de usuários ao Myce e ao Engadget, uma popup estaria aparecendo na Área de trabalho das pessoas assim que elas fixam o Chrome na Barra de tarefas — ação que dá a entender que elas pretendem usar esse browser mais frequentemente. A popup, como você pode conferir, traz a seguinte mensagem:

quick_compare_msn

“Compare preços online rapidamente. Obtenha o Personal Shopping Assistant da Microsoft para Chrome”.

Ao clicar na tal janelinha, que é praticamente um spam, a pessoa é levada para a Chrome Web Store, onde elas podem adicionar a extensão feita pela criadora do Windows. Vale notar que a aplicação ainda está em fase beta, mas consegue comparar preços e permite aos usuários favoritarem produtos em lojas online, bem como receberem aletas de mudanças nos valores.

Já estava lá…

Essa possibilidade de trazer popups diretamente na área de trabalho do Windows 10 já estava presente no sistema há praticamente um ano. Contudo, uma atualização estaria ativando a novidade, que aparentemente foi testada com a tal extensão para Chrome.

Por conta disso, usuários que receberam a notificação estão enchendo a página de download do Personal Shopping Assistant com reviews negativas. Isso na versão em inglês da página, pois em português não há qualquer comentário ou avaliação. Portanto, supomos que usuários brasileiros ainda não receberam a popup em seus sistemas.

Vale lembrar que, em algumas regiões, anúncios também já começaram a aparecer no Menu Iniciar do Windows 10. Fora isso, existe agora a preocupação de a Microsoft abrir para anunciantes essas popups e acabar tornando a experiência com o Windows mais complicada.

Fonte: Tecmundo

Segurança do Edge é violada

Microsoft-EdgeA Microsoft já anunciou o Edge como sendo o naveador mais seguro da atualidade, batendo a concorrência e garantindo a proteção dos seus usuários.

Mas a verdade é que nos últimos dias, durante o primeiro dia da conferência PwnFest, este browser foi comprometido duas vezes e numa delas o processo demorou apenas 18 segundos pra acontecer.

A PwnFest é uma conferência dedicada à segurança e que dá espaço para os hackers mostrarem as suas habilidades confrontando os maiores softwares da atualidade. Na edição deste ano já existem as primeiras vítimas, como os apliucativos Edge e o VMWare Workstation que tiveram sua segurança comprometida.

As vulnerabilidades do Edge

O Edge foi até agora o único navegador a ter sido atacado com sucesso, tendo sido tornado vítima nas mãos dos hackers por duas vezes. Em ambas as situações foi possível explorar vulnerabilidades que levaram à execução de código no próprio sistema operacional.

Este feito foi conseguido por dois segmentos distintos, tanto pela empresa de segurança chinesa Qihoo 360 como pelo hacker sul-coreano Junghoo Lee. Ambos receberam um prémio de 140 mil dólares. No caso do ataque feito por Junghoo Lee, a sua duração de seui ataque alcançou sucesso em apenas 18 segundos, tendo logo em seguida obtido acesso completo ao Windows 10.

No caso da empresa Qihoo 360, a sua equipe teve um trabalho extra, pois 3 das 4 das falhas que por eles foram descobertas acabaram sendo resolvidas pela Microsoft na sua última atualização de segurança. A equipe demorou 30 horas para conseguir criar um novo ataque bem sucedido.

O ataque ao VMWare Workstation

No caso do VMWare Workstation, estas mesmas equipes realizaram com sucesso um ataque que, e este é um caso inédito, pode ser realizado remotamente e sem qualquer interação dos usuários. Neste caso o prêmio financeiro foi ainda maior e rendeu a cada um 150 mil dólares.

Todas as falhas descobertas são reportadas às empresas desenvolvedoras dos softwares e rapidamente resolvidas, como tem acontecido nas edições anteriores.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Microsoft reforça segurança do navegador Edge

defender_app_guard_windowsA Microsoft anunciou nos últimos dias, durante o segundo dia de sua conferência Ignite, em Atlanta (EUA), uma nova ferramenta para tornar o Microsoft Edge do Windows 10 mais seguro em ambientes corporativos. Denominada Windows Defender Application Guard, a solução não permite que malwares consigam acessar o restante da máquina ou da rede.

Na prática, isso significa que o vírus será executado apenas na máquina virtual, em algo parecido com uma prisão de segurança máxima, de acordo com a Microsoft. Em sua apresentação, a fabricante argumentou que outros navegadores ainda deixam as empresas vulneráveis a 90% dos ataques mais prevalentes por não usarem proteção baseada em hardware.

A tecnologia, no entanto, só começa a funcionar no início de 2017 para empresas que vão testá-la e no restante do ano para um público maior. A empresa apresentou também novas funcionalidades de segurança para o Office 365, como o aprimoramento dos recursos de proteção que protegem os usuários de clicar em endereços maliciosos, por exemplo.

Essa ferramenta funcionará em serviços como o SharePoint, onedrive for Business, Word, Excel e PowerPoint. Os administradores de segurança, principalmente do setor financeiro, também contarão, em breve, com dados de milhões de máquinas que rodam o Windows para se protegerem melhor, ainda segundo o anúncio da Microsoft.

Agradecemos ao Igor, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech Corporate e Techcrunch

Microsoft Edge irá colocar restrições à execução do Flash

say-no-flash-playerA Microsoft anunciou nesta quinta-feira (07) uma característica que irá melhorar consideravelmente a experiência global de usuários de seu navegador Edge. Com a próxima atualização de aniversário do Windows 10, o Microsoft Edge inteligentemente deixará de executar conteúdos em Flash que não são partes centrais de uma página na web.

Conteúdos de animações em Flash, como anúncios, não serão exibidos a menos que o usuário clique explicitamente para executá-los. A nova alteração deverá reduzir consideravelmente o consumo de energia em dispositivos com Windows 10 e melhorar o desempenho de carregamento de páginas web. Como era de se esperar, o navegador irá distinguir quando um conteúdo em Flash for o centro de uma página web, como no caso de jogos e vídeos. Nesses casos, a execução em Flash não será interrompida.

Em comunicado, a Microsoft afirmou que o “Flash tem sido uma parte integrante da web ao longo de décadas, permitindo um conteúdo rico e animações em navegadores desde antes da introdução do HTML5”. Os navegadores mais modernos estão deixando de utilizar o Flash em apoio ao HTML5. Isso porque o novo formato permite um melhor desempenho no carregamento de páginas e maior segurança para navegação.

Ainda segundo a Microsoft, os desenvolvedores também serão beneficiados pela tendência de descontinuação do Flash, visto que “eles serão capazes de criar sites que funcionam em todos os navegadores e dispositivos, incluindo dispositivos móveis onde o Flash não está disponível”.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech