Usa o navegador IE? Aí vai um alerta

Pode parecer que não, mas uma parcela da internet ainda é consumida por meio do Internet Explorer, o controverso e já descontinuado navegador da Microsoft. Até aí tudo bem, obviamente, mas eis que a informação de um bug que vaza informações pesquisadas a partir da barra de endereços do programa cria um alerta.

O problema foi revelado pelo pesquisador de segurança Manuel Caballero e permite que uma página visitada identifique a informação digitada no campo de endereços do Internet Explorer 11 (única versão que ainda recebe suporte da Microsoft) assim que o usuário pressiona a tecla Enter. Ou seja, informações pesquisadas a partir deste espaço podem ser monitoradas pelos sites acessados durante a navegação.

No vídeo em que demonstra a falha, é possível perceber que as informações estão sendo “vazadas”, mas Caballero exibe isso de propósito justamente para identificar o bug em ação. “Em minha opinião, a Microsoft está tentando se livrar do IE sem dizer isso”, escreveu o pesquisador. “Seria mais fácil e mais honesto simplesmente dizer aos usuários que o seu navegador antigo não está tão bem servido quanto o Edge.”

Apesar disso, a Microsoft revelou ao site Wccftech que “tem o compromisso com o consumidor em investigar as questões de segurança reportadas e atualizar ativamente os dispositivos impactados o mais breve possível”. De qualquer maneira, se você ainda utiliza o Internet Explorer, provavelmente já passou da hora de mudar de navegador.

Fonte: Tecmundo

IE recebeu várias correções no último Patch Tuesday

ieNavegador, que será aposentado no Windows 10, recebeu um total de 20 soluções para falhas críticas na mais recente rodada de correções da empresa de Redmond.

O Internet Explorer, sempre um alvo de criminosos online, recebeu mais uma vez uma grande quantidade de patches na Patch Tuesday desta semana da Microsoft.

Em junho, a empresa emitiu 8 boletins, que contém um total de 45 patches. O boletim apenas para o IE, o MS15-06, contém 24 patches, incluindo 20 que cobrem falhas críticas, o que significa que as soluções devem aplicadas o mais rápido possível.

Outros boletins solucionam problemas no Windows, no pacote Office, no Windows Media Player, no Active Diretory e no Exchange Server.

Em média, a Microsoft publica cerca de 20 patches por mês para o IE, segundo o CTO da empresa de tecnologia Qualys, Wolfgang Kandek.

Vale notar que o navegador será aposentado pela Microsoft no novo Windows 10, dando lugar ao browser Microsoft Edge.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: PCWorld

IE suportará novo padrão HSTS no Windows 10

IE_11A Microsoft anunciou nas últimas semanas que o Internet Explorer suportará o padrão HSTS (HTTP Strict Transport Security) no Windows 10. O suporte também será incorporado ao navegador Spartan.

De acordo com a empresa, o suporte para o padrão HSTS no Internet Explorer já está disponível na versão Preview do Windows 10 e estará disponível em uma futura atualização para o navegador Spartan.

Mas o que é o padrão HSTS? Este padrão protege os usuários na Web contra diversos tipos de ataque que usam “intermediários” para interceptar ou interromper tráfego TLS.

Por exemplo, o usuário pode se conectar a um site não criptografado antes de ser redirecionado para a conexão segura. Neste caso, um criminoso pode explorar uma falha na conexão não criptografada para redirecionar o usuário para um site malicioso.

O padrão HSTS ajuda a prevenir este tipo de ataque ao permitir que os sites determinem que o navegador deve sempre usar criptografia na conexão ao servidor Web.

O padrão HSTS oferece dois métodos para que os sites possam proteger suas conexões:

O registro de uma lista de pré-carregamento: Os sites podem ser registrados para fazer com que o Internet Explorer e outros navegadores redirecionem tráfego HTTP para HTTPS.
O oferecimento de um cabeçalho HSTS: Sites que não estejam na lista de pré-carregamento podem habilitar o HSTS usando o cabeçalho Strict-Transport-Security.
Quando o usuário visitar um site e este exibir um erro de certificado, o usuário não poderá mais ignorar este erro e prosseguir para o site. A conexão será abortada.

Além disso, conteúdo misto não é suportado em servidores com HSTS. Todo conteúdo deve ser obrigatoriamente seguro.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo

Palo Alto Networks identifica 3 vulnerabilidades críticas no IE

IEA Exclusive Networks anunciou que o investigador da Palo Alto Networks Bo Qu descobriu três novas vulnerabilidades críticas no Internet Explorer (IE), que afetam as versão 9, 10 e 11 do IE. Estas três vulnerabilidades estão incluídas no Microsoft’s February 2015 Security Bulletin MS15-009 e documentadas no Microsoft Security Bulletin MS15-FEB.

Como parte do compromisso contínuo da empresa para com a comunidade de investigação em segurança, estas vulnerabilidades foram apresentadas à Microsoft através da participação da Palo Alto Networks no Microsoft Active Protections Program (MAPP), que assegura a divulgação atempada e responsável de novas vulnerabilidades e criação de meios de segurança por parte dos fabricantes de soluções de segurança.

A Palo Alto Networks contribui de forma regular para a pesquisa de vulnerabilidades do IE. Anteriormente, descobriu três vulnerabilidades em Novembro de 2014, uma em Outubro de 2014, 15 em Setembro de 2014, três em Agosto de 2014, 10 em Julho de 2014, e 22 em Junho de 2014 (antes 21).

Ao identificar proativamente estas vulnerabilidades, desenvolver proteções para os clientes e em partilhá-las com a Microsoft para fazerem o respetivo patch, a Palo Alto Networks pretende retirar uma das armas usadas por utilizadores maliciosos para comprometer redes empresariais e governamentais.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Wintech

Vulnerabilidades do Internet Explorer que já têm solução

internet-explorer-security-flawO perigo, claro, sempre está nos softwares desatualizados, mas nem mesmo as versões mais recentes do Internet Explorer passam ilesas a testes de vulnerabilidade. Uma descoberta feita pelos pesquisadores da empresa de segurança Palo Alto Networks revelou três novas vulnerabilidades no código do navegador, que permitem a execução de códigos maliciosos por meio de uma corrupção na memória do software. O problema atinge as versões de 8 a 11 do browser.

O foco de tais ameaças, claro, sempre são as redes corporativas, principais vítimas de ataques hackers localizados em busca de dados confidenciais ou base de dados de clientes. Mas aqui, mesmo usuários comuns poderiam ser comprometidos a partir da falha, tendo dados bancários roubados e máquinas sequestradas para fins ilícitos.

Antes de divulgar a ameaça publicamente, a Palo Alto trabalhou junto à Microsoft para garantir que a empresa estivesse ciente do problema e oferecesse soluções. Tanto que a ameaça descoberta, inclusive, já faz parte de relatórios de segurança da empresa e foi corrigida com a atualização 2976627, liberada no último dia 12 de agosto.

Considerada crítica pela empresa, a falha de segurança foi contornada até mesmo em versões mais antigas do navegador, como a 6 e a 7. Mas todos, mesmo aqueles utilizando o Internet Explorer 11 e o Windows 8.1 devem aplicar a atualização. De acordo com a Microsoft, quem possui as atualizações automáticas ativadas em seu sistema não precisa fazer nada, já que ela é baixada e instalada automaticamente. Para todos os outros, a recomendação é que a função seja ativada.

Além de ser categorizada como de alto risco pela Microsoft, a Palo Alto Networks caracterizou a brecha como grave e passível de uso por APTs (Advanced Persistent Threats), que normalmente resultam em ataques direcionados e altamente sofisticados, com alvos corporativos. Agora, porém, a empresa de segurança afirma que a ameaça já foi solucionada e os usuários do navegador estão protegidos contra o problema.

Agradeço ao Davi e ao Paulo Sollo, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

Internet Explorer lidera o mercado

IE_lider

O Internet Explorer, da Microsoft, é o navegador mais utilizado no mundo, com 58,3% dos usuários, segundo pesquisa do rastreador Web Net Aplications. Em segundo lugar vem o Google Chrome, com 19,3%, deixando o Mozilla Firefox em terceiro, com 15,5%. Outros browsers somam 22,4%.

O navegador do Google vem ganhando espaço em relação ao Firefox há algum tempo. Entre maio e junho, tirou cerca de 1% de diferença. Já o IE segue na frente com folga. Entre suas versões, a 8 aparece na liderança, com 21,2%, seguida da 11, com 17%.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital e CNET

Finalmente Microsoft irá liberar uma correção para falha no IE

IERespondendo às críticas que vem recebendo da mídia, a Microsoft finalmente se comprometeu a consertar do Internet Explorer descoberta há mais de sete meses. O problema acontece nas versões 8 em diante do navegador da empresa e permite que hackers utilizem códigos maliciosos para levar suas vítimas a sites para instalação de malwares e outras ferramentas de rastreamento.

O problema foi relatado ao público pela primeira vez no final de 2013, após sucessivas tentativas de contato da Zero-Day Initiative com a Microsoft. A brecha em questão permite que os usuários sejam levados a páginas disfarçadas de legítimas, onde malwares para roubo de dados ou criação de redes zumbis podem ser instalados sem o conhecimento das vítimas.

Segundo informações do Infoworld, a Microsoft finalmente resolveu se pronunciar sobre o caso e afirmou que patches de correção, muitas vezes, podem levar um longo tempo para serem desenvolvidos e, principalmente, testados. Essa segunda etapa é a que toma mais tempo, já que é preciso garantir o funcionamento em máquinas com as mais diferentes configurações e versões do sistema operacional.

Mesmo assim, a empresa garante que está trabalhando em uma solução e promete liberá-la assim que estiver pronta e o mais rápido possível. Por enquanto, pelo menos, não há ocorrências da falha de segurança sendo usada em grande escala, mas essa situação pode mudar a qualquer momento.

A principal orientação de segurança no momento é a atualização do navegador para edições da 11 em diante do Internet Explorer, que não apresentam mais falhas do tipo. Ou, caso isso não seja possível, a troca do aplicativo por outras alternativas disponíveis gratuitamente, como o Firefox ou o Chrome.

De acordo com a Zero Day Initiative, a falha foi descoberta em outubro de 2013. A organização, que é de propriedade da HP, organiza competições de hackers frequentemente e costuma “comprar” vulnerabilidades de seus descobridores para que elas não sejam utilizadas de forma maliciosa. A política é entrar em contato com a empresa e liberar as informações publicamente após a criação de uma correção ou com o fim de um prazo de 180 dias, o que vier primeiro.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech