Falha no Chrome possibilita a terceiros vasculhar arquivos no PC

A Google revelou no dia 06 de março uma vulnerabilidade no navegador Chrome que praticamente abria as portas do computador para um hacker malicioso.

A Google já corrigiu a brecha e todos os navegadores devem estar atualizados com a última versão disponível.

A vulnerabilidade zero-day (CVE-2019-5786) foi corrigida na versão 72.0.3626.121 do Chrome. Segundo anúncio da empresa, a falha já estava sendo explorada por atacantes antes da correção — por isso, garanta que seu Chrome está atualizando em ‘Menu’, ‘Ajuda’ e ‘Sobre o Google Chrome”.

Confira agora se o seu Chrome está com a última versão instalada

Segundo a empresa, a vulnerabilidade é um erro no gerenciamento de memória do FileReader no Chrome. O FileReader é a API responsável por permitir que aplicativos web acessem o conteúdo de arquivos armazenados no computador de um usuário. A brecha vinha acontecendo quando um app web tentava acessar a memória após ler liberado ou apagado da memória alocada do Chrome.

Com esta brecha, cibercriminosos poderiam escalar privilégios dentro do sistema operacional e ler o conteúdo de arquivos no computador de uma vítima. Ou seja: tudo que é mais pessoal e sensível.

Ainda não foram divulgados muitos detalhes sobre a vulnerabilidade. A Google já atualizou automaticamente os navegadores Chrome, contudo, garanta que o seu aparece com a mesma versão abaixo — se não aparecer, faça uma atualização na página oficial do Chrome.

Fonte: Tecmundo

Android suscetível a ataques através de imagem em PNG

Smartphones com sistemas Android e iOS possuem vulnerabilidades e, sim, podem ser hackeados. Infelizmente, a plataforma da Google está um pouco atrás quando falamos sobre cibersegurança. Agora, três novas vulnerabilidades afetam dispositivos Android rodando versões 7.0 Nougat até 9.0 Pie — ou seja, milhões de smartphones novos.

Identificadas como CVE-2019-1986, CVE-2019-1987 e CVE-2019-1988, as falhas já foram corrigidas pela Google no patch Android Open Source Project (AOSP). Contudo, como infelizmente as fabricantes de smartphones (Samsung, Sony, LG, Huawei etc) são detentoras dos pacotes de atualização de seus celulares, muitos dispositivos continuam desprotegidos.

A Google fez sua parte. Fabricantes, por favor, não demorem tanto para atualizar seus smartphones

As vulnerabilidades exploram falhas na renderização de imagens “.PNG”. Em uma delas, a mais severa, cibercriminosos podem criar uma imagem PNG que execute código arbitrário em smartphones vulneráveis.

“O mais grave desses problemas é uma vulnerabilidade de segurança crítica no framework que pode permitir que um invasor remoto usando um arquivo PNG especialmente criado execute código arbitrário dentro do contexto de um processo privilegiado”, disse a Google no patch de segurança.

A imagem infectada pode ser enviada para usuários Andorid via email ou app de mensagens, como WhatsApp e Telegram. Basta a vítima visualizar a imagem para ser o código malicioso começar a rodar.

Enquanto a vulnerabilidade é grave, a Google afirmou que ainda não encontrou relatos de vítimas que tenham sido hackeadas especificamente por meio deste ataque. Além disso, a companhia alertou as fabricantes um mês antes da publicação agora em fevereiro.

Fonte: Tecmundo

Microsoft corrige falha do IE

A Microsoft raramente menciona o Internet Explorer (IE), mas quando isso acontece, geralmente significa más notícias.

Na quarta-feira (18), quando a Microsoft lançou uma rara atualização de segurança de emergência para solucionar uma vulnerabilidade crítica no IE9, IE10 e IE11, ainda suportados. A falha foi reportada à Microsoft pelo engenheiro de segurança do Google, Clement Lecigne.

Segundo a Microsoft, os invasores já estão explorando a vulnerabilidade, tornando-a um clássico bug do tipo Zero Day. Por causa disso, a empresa divulgou uma correção antes da próxima rodada de atualizações de segurança marcada para o dia 8 de janeiro.

A atualização foi emitida para o Windows 7, 8.1 e 10 – o último com patches para as versões 1607 e posteriores – bem como o Windows Server 2008, 2012, 2016 e 2019. (Atualizações para algumas versões do Windows 10 – 1607 e 1703 – estavam disponíveis apenas para o Windows 10 Enterprise e o Windows 10 Education.)

“Existe uma vulnerabilidade de execução remota de código na maneira como o mecanismo de script manipula objetos na memória no Internet Explorer”, declarou a Microsoft no documento de suporte CVE-2018-8653. “A vulnerabilidade pode corromper a memória de tal forma que um invasor possa executar código arbitrário no contexto do usuário atual.”

A vulnerabilidade pode ser explorada simplesmente atraindo usuários que executam o IE9, IE10 ou IE11 para um site mal-intencionado, talvez com um e-mail de phishing.

A Microsoft prometeu continuar corrigindo as vulnerabilidades do navegador, mas parou de melhorar ou aprimorá-lo desde 2016. A única razão pela qual a Microsoft ainda atende o IE é que os usuários corporativos do Windows 7, 8.1 e 10 podem continuar a executar aplicativos da Web personalizados e sites de intranet antigos. O futuro, a Microsoft disse várias vezes, é o Edge, que roda somente no Windows 10.

Em novembro, o IE representou apenas 9,6% do share global de usuários de navegadores, medido pelo NetBI, e cerca de 11% de todos os PCs com Windows. Esses números mascaram um problema mais sério: nos últimos 12 meses, o IE perdeu um quinto de seus usuários, uma taxa insustentável de declínio.

A correção de segurança do IE será automaticamente oferecida, baixada e instalada na maioria dos PCs Windows não gerenciados.

Fonte: IDGNow!

Seu CPF pode ter sido exposto

Servidor mal configurado expôs documento sensível de mais da metade da população por meses, alertou pesquisadores de cibersegurança.

Pesquisadores em cibersegurança descobriram uma brecha grave em um servidor que expôs o número de CPF de 120 milhões de brasileiros – ou seja, mais da metade da população. Segundo a empresa de segurança InfoArmor, que detectou a vulnerabilidade em março deste ano, a negligência estava na própria configuração da segurança do servidor.

Os pesquisadores identificaram que as ferramentas de segurança do servidor público brasileiro não estavam configuradas adequadamente. Dessa forma, dados armazenados neste servidor poderiam ser acessados por qualquer pessoal mal-intencionada a qualquer momento.

O “Cadastro de Pessoas Físicas” é necessário, entre outras coisas, para realizar transações financeiras, como abrir uma conta bancária, comprar um imóvel, abrir um negócio, pagar impostos, etc. Nesse sentido, cada número de CPF exposto está associado a um histórico bancário e fiscal.

Depois de analisar mais de perto o servidor mal configurado, os pesquisadores descobriram que alguém havia modificado o nome de um arquivo de “index.html” para “index.html_bkp“. Essa mudança de nome é uma das razões pelas quais as informações foram expostas. Como explicam os especialistas, qualquer pessoa que soubesse o nome do arquivo e o encontrasse poderia ter acesso livre a todas as pastas e arquivos. Esses arquivos, que variam de 27 megabytes a 82 gigabytes, continham bancos de dados com informações relacionadas ao CPF.

A InforArmor tentou entrar em contato com o proprietário do servidor para comunicar a descoberta. E, embora tenha havido várias tentativas fracassadas, o erro de segurança foi reparado e as informações deixaram de estar acessíveis.

Os pesquisadores responsáveis pela descoberta do vazamento de dados relatam ainda que é provável que cibercriminosos com recursos de coleta de dados os tenha detectado. Caso isso realmente tenha ocorrido, é muito provável que esses dados possam ser usados no futuro para uma campanha maliciosa ou ataque direcionado ao Brasil.

O pesquisador de segurança da ESET, Daniel Cunha Barbosa, destaca que caso um cibercriminoso tenha acesso ao número de CPF “é possível gerar fraudes como cadastros válidos no nome de uma pessoa e, dependendo do nível de informações adicionais que o criminoso possua, fazer compras e até mesmo contratar empréstimos”. A recomendação da empresa é monitorar de perto o documento para evitar qualquer transtorno no futuro.

Fonte: IDGNow!

Processadores Intel, AMD e ARM viram alvo dos cibercriminosos

Dois dos sete novos ataques são variações do ataque Meltdown, enquanto os outros cinco são variações do ataque original do Spectre.

Uma equipe de nove pesquisadores revelou sete novos ataques de CPU, que impactam processadores AMD, ARM e Intel em vários níveis.

De acordo com publicação do portal ZDNet, dois dos sete novos ataques são variações do ataque Meltdown, enquanto os outros cinco são variações do ataque original do Spectre – dois ataques bem conhecidos que foram revelados no início do ano e que impactaram diversos modelos de CPUs.

Pesquisadores dizem na publicação que descobriram os sete novos ataques de CPU enquanto realizavam “uma sistematização sólida e extensível de ataques de execução transitórios” – um termo abrangente usado pela equipe de pesquisa para descrever os ataques aos vários mecanismos internos que uma CPU usa para processar dados.

A equipe de pesquisa diz que demonstrou com sucesso todos os sete ataques com código de prova de conceito. Experimentos para confirmar seis outros ataques de Meltdown não tiveram sucesso, de acordo com um gráfico publicado por pesquisadores.

Os novos ataques do Meltdown descobertos são:

Meltdown-BR – explora uma instrução vinculada ao x86 na Intel e no AMD

Meltdown-PK – ignora as chaves de proteção de memória nos processadores Intel

Meltdown-AC – tentou explorar exceções de verificação de alinhamento de memória

Meltdown-DE – tentou explorar erros de divisão (por zero)

Meltdown-SM – tentou explorar o mecanismo de prevenção de acesso do modo de supervisor (SMAP)

Meltdown-SS – tentou explorar acessos ao segmento fora do limite

Meltdown-UD – tentou explorar uma exceção inválida do opcode

Meltdown-XD – tentou explorar a memória não executável

O que dizem as empresas

A equipe de pesquisa diz que relatou todas as suas descobertas aos três fornecedores de processadores, mas que apenas ARM e Intel reconheceram as descobertas.

Respondendo às alegações da equipe de pesquisa, a Intel forneceu a seguinte declaração, sugerindo que as medidas de mitigação testadas pelos pesquisadores podem não ter sido aplicadas corretamente.

As vulnerabilidades documentadas neste documento podem ser totalmente abordadas aplicando as técnicas de mitigação existentes para o Spectre e o Meltdown, incluindo aquelas documentadas anteriormente aqui e em outros locais por outros fabricantes de chips. Proteger os clientes continua sendo uma prioridade crítica para nós e agradecemos às equipes da Universidade de Tecnologia de Graz, da imec-DistriNet, da KU Leuven e do College of William and Mary por sua pesquisa em andamento.

Fonte: IDGNow!

Falha expõe 100 milhões de usuários do Android e iOS

A Google oferece os servidores do Firebase para desenvolvedores que precisam de soluções de nuvem para armazenar recursos e informações dos usuários de seus aplicativos. Ele é uma ótima saída para quem não pode bancar toda essa infraestrutura por conta e deseja algo funcional e seguro.

Contudo, o descuido de alguns desenvolvedores na hora de configurar a sua própria base de dados no Firebase tem gerado um grande problema. Com isso, tanto aplicativos de iOS quanto de Android que usam o serviço de nuvem da Google deixaram expostos dados pessoais de mais de 100 milhões de pessoas.

Segundo o site iMore, são mais de 2,2 mil bancos de dados vulneráveis. Uma pesquisa feita pelo Appthority indica que 113 GB de dados de 3.046 aplicativos que utilizam o Firebase estavam vulneráveis. Desses apps, 600 são de iOS e outros 2.446 são de Android.

De acordo com os especialistas, as informações vazadas contêm 26 milhões de nomes de usuário e senhas em textos simples, mais de 4 milhões de registros de informações de saúde protegidas, 25 milhões de registros de GPS, dados de 50 mil transações financeiras (inclusive com bitcoins) e ainda 4,5 milhões de dados corporativos de usuários do Facebook e do LinkedIn.

Diante da polêmica gerada pela revelação, a Google se posicionou e informou que mantém um aviso na página de configuração de cada base de dados quando ela está configurada de uma maneira insegura, além de enviar um email notificando o desenvolvedor. A empresa garante que a sua ferramenta é segura e não sofreu qualquer tipo violação, portanto, é o descuido de alguns desenvolvedores que deixa as informações expostas.

Fonte: Tecmundo

Falha no Twitter expõe 330 milhões de usuários – o que fazer

O Twitter pediu nos últimos dias aos seus mais de 330 milhões de usuários que mudem suas senhas na rede social, depois que uma falha fez com que algumas delas fossem armazenadas em texto em seu sistema interno de computadores.

A rede social disse que consertou a falha e que uma investigação interna não encontrou senhas que foram roubadas ou usadas por pessoas de dentro, mas pediu a todos os usuários que considerem a mudança de suas senhas por cautela.

O blog da rede social não informou quantas senhas foram afetadas. Mas uma pessoa familiarizada com o assunto disse que o número era substancial e que eles foram expostos por vários meses.

O Twitter descobriu a falha há algumas semanas e informou reguladores, disse a pessoa, que não estava autorizada a discutir o assunto.

A empresa aconselhou os usuários a tomarem precauções para garantir que suas contas fiquem seguras, incluindo a alteração de senhas e a ativação do serviço de autenticação em dois fatores, para ajudar a impedir que contas sejam sequestradas.

A divulgação acontece no momento em que legisladores e reguladores de todo o mundo analisam a forma como as empresas armazenam e protegem os dados dos consumidores, depois de uma série de incidentes de segurança que surgiram em empresas como Equifax, Facebook e Uber.

A União Europeia deve começar a aplicar uma nova lei de privacidade restrita, conhecida como o Regulamento Geral de Proteção de Dados (GDPR), que inclui altas taxas por violar seus termos.

A falha no Twitter está relacionada ao uso por parte da empresa de uma tecnologia conhecida como “hashing”, que mascara as senhas quando um usuário as digita, substituindo-as por números e letras, de acordo com o blog.

Um bug fez com que as senhas fossem escritas em um log interno do computador antes que o processo de hashing fosse concluído.

“Lamentamos muito que isso tenha acontecido. Reconhecemos e valorizamos a confiança depositada em você e estamos comprometidos em ganhar essa confiança todos os dias”, afirmou o Twitter em seu blog.

As ações do Twitter caíram 0,39% nesta quinta, cotadas a US$ 30,67.

Recomendações do Twitter

– Se você usa a mesma senha do Twitter em outros sites ou redes sociais deve trocá-la
– Use uma senha que você não usa em outros locais
– Ative a verificação do login. Também chamada de de autenticação de dois fatores
– Use um gerenciador de senha para garantir senhas fortes (não óbvias e que misturam letras, números e caracteres especiais)

Fonte: Folha