Microsoft Edge dá vexame em competição hacker

A competição hacker Pwn2Own é uma das mais conhecidas do mundo e costuma não deixar muita gente livre de ter as suas falhas exploradas pelos especialistas. Neste ano, depois de explorar uma brecha do Safari, os hackers conseguiram hackear o Microsoft Edge também no primeiro dia do evento.

O responsável pelo feito programa da Microsoft foi Richard Zhu, conhecido pelo apelido Fluorescence. Ele explorou dois bugs use-after-free do kernel e do navegador e, com isso, pôde rodar seu código malicioso com privilégio de administrador. Segundo o ZDI, isso rendeu a Zhu a premiação de US$ 70 mil e sete pontos de Master of Pwn.

Um pouco antes, o hacker tentou realizar a mesma ação no Safari, o navegador da Apple, mas não obteve sucesso. Contudo, outro hacker explorou uma falha na otimização JIT do software a fim de obter acesso à touchbar de um MacBook Pro. Por esse feito, o competidor Samuel Groß recebeu US$ 65 mil.

Agradecemos ao Celso, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Microsoft Edge apresenta falha grave de segurança

Os navegadores estão constantemente em contato direto com a Internet, permitindo que os atacantes procurem explorar as suas vulnerabilidades e as suas falhas.

No Edge, o mais recente navegador da Microsoft, foi descoberta uma nova vulnerabilidade, que permite que sejam roubadas as senhas do usuário e os cookies previamente armazenados.

Esta nova falha do Edge foi descoberta pelo pesquisador de segurança Manuel Caballero, que mostrou que é simples e muito rápido para qualquer atacante obter as senhas de qualquer usuário deste browser. Além disso é igualmente possível obter os cookies que os sites guardam nesse navegador.

Uma vez em posse destes dados, é possível ao atacante acessar todos os sites que o usuário tenha visitado, mesmo os que requerem autenticação, deixando-o assim exposto e vulnerável.

Para obter estes dados é necessário apenas explorar uma falha na implementação da “Same Origin Policy” que foi feita pela Microsoft. Esta medida pretende impedir que os sites explorem os dados que foram gerados por outros, mas, até onde se sabe até agora, esta medida não foi implementadda de forma correta.

Para piorar a situação, e segundo Manuel Caballero, esta falha não é nova e já existem duas formas diferentes de a explorar. Ambas são bem conhecidas pela Microsoft e estão ainda por serem resolvidas.

Mas a nova forma, descoberta por este pesquisador de segurança, mostra-se tão eficiente como as demais, com a particularidade de ser mais simples e mais rápida de implementar, sendo por isso mais perigosa.

Esta é mais uma falha a ser acrescida à lista daquelas recentemente descobertas em produtos Microsoft. Depois de dias de grande confusão por conta do ciberataque mundial, que explorava uma falha no Windows, surge mais uma, desta vez no navegador que a Microsoft quer que os seus usuários usem como o seu preferencial.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Descoberta vulnerabilidade no Microsoft Edge

vulnerabilidade_edgeDe acordo com informações do especialista em segurança Manuel Caballero, uma vulnerabilidade no recurso SmartScreen do Microsoft Edge pode ser usada para enganar os usuários do navegador.

O SmartScreen é um recurso de segurança criado para alertar o usuário sobre sites e downloads maliciosos.

A vulnerabilidade descoberta por Caballero permite que criminosos exibam alertas falsos como sendo de outros domínios como Google e Facebook.

Segundo ele, criminosos podem explorar esta vulnerabilidade para que ela exiba números de telefone de supostas “equipes de suporte” que farão de tudo para tirar dinheiro dos usuários.

Caballero colocou no ar uma página de demonstração onde qualquer um pode gerar seu próprio alerta falso com o domínio de sua escolha.

Em seu blog, ele afirma que a vulnerabilidade afeta apenas o Microsoft Edge.

A vulnerabilidade ainda não foi corrigida e por isso é necessário ter cuidado redobrado durante a navegação na Web.

Caballero disse que já reportou diversos bugs para a Microsoft no passado, mas como a empresa ignorou alguns deles, ele decidiu divulgar a vulnerabilidade no SmartScreen do Microsoft Edge publicamente sem reportá-la para a empresa.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo

Os 5 melhores recursos do navegador Microsoft Edge

Microsoft-EdgeCom o Windows 10, a Microsoft lançou um novo navegador padrão chamado Microsoft Edge. Ele vem com alguns recursos diferentes dos que são oferecidos pelo Chrome ou pelo Firefox.

Alguns desses recursos merecem a sua atenção. Veja como eles podem ser úteis para você e descubra se vale a pena trocar o seu navegador atual pelo Edge.

1 – Edição de captura de tela: na barra superior direita você pode usar uma caneta virtual para fazer anotações sobre a tela, usar um marca-texto para destacar trechos antes de compartilhá-los, usar uma borracha para apagar algo da imagem, criar caixas de anotação ou cortar a imagem usando uma ferramenta de seleção quadrada ou retangular. Depois de fazer o que precisa, basta clicar no ícone do disquete para salvar a captura de tela.

captura_tela2 – Compartilhamento: Como nos navegadores para smartphones, o Microsoft Edge traz uma área em seu menu dedicada ao compartilhamento de conteúdos nas redes sociais. Dessa maneira, não é preciso estar com uma aba aberta no Twitter ou no e-mail para enviar um link para lá.

compartilhamento3 – Modo de leitura: Outro recurso interessante, aparentemente, também importado dos smartphones, é que o Microsoft Edge permite visualizar páginas web em um visual clean. Ativando o Modo de Leitura (clicando no ícone do pequeno livro no canto superior direito), todo o design do site em que você está deixa de importar e você pode se concentrar apenas no que está escrito.

leitura4 – Sites sugeridos: Quando você abre uma nova aba, você provavelmente vai para um dos destinos online que você mais frequenta. YouTube, Facebook, Twitter, Spotify, sites de notícias… enfim, você deve ter uma rotina na web. O recurso de sites sugeridos do ME ajuda a agilizar a sua navegação aos seus sites recorrentes.

sites_sugeridos

5 – Plugins: Ok, eles ainda não estão lá. Mas a Microsoft prometeu que eles chegarão em 2016 e vão mudar a experiência de uso do navegador. Se você é desenvolvedor, vale a pena ficar de olho. Afinal, a base instalada de Microsoft Edge no mundo é enorme e o uso do browser (no que depender do parecer da Microsoft) só deve aumentar nos próximos tempos.

Fonte: Tec Dica

Microsoft Edge dispensará barras de ferramentas

Microsoft-EdgeA Microsoft divulgou alguns novos detalhes sobre o Edge (ex-Project Spartan), e entre eles, está o fim do suporte a BHOs (Browser Helper Objects), tecnologia que permite colocar barras de ferramentas no navegador.

O suporte a ActiveX também acabou: é uma forma de carregar plugins que funcionam apenas no Internet Explorer. É também uma forma de deixar o navegador muito inseguro, porque o ActiveX tem permissões muito amplas para rodar no Windows.

Para se tornar mais seguro, o Microsoft Edge terá Flash embutido, assim como o Chrome; e poderá renderizar PDFs de forma nativa – nada disso exigirá plugins.
Além disso, o Edge será um app universal, não um programa comum para Windows. Isso significa que ele rodará dentro de uma sandbox, sem ter acesso profundo ao sistema. Dessa forma, páginas da web maliciosas não poderão causar tantos danos quanto antigamente.

Isso também significa que o Edge receberá atualizações mais rápidas através da Loja do Windows, em vez de depender do Windows Update. E o Edge é mais seguro por rodar em 64 bits por padrão, “dificultando aos hackers o acesso a posições precisas de memória para atingir os seus objetivos”.

O Edge terá suporte a extensões que poderão ser portadas do Firefox ou Chrome. Isso será ativado no terceiro trimestre, diz a empresa, para que desenvolvedores possam criar add-ons para o navegador.

A Microsoft cogita levar o suporte a extensões para o Edge em smartphones com Windows 10 também, mas vê isso como um “objetivo de longo prazo” devido a “mais limitações como espaço, memória e potência” fora dos PCs.

O navegador tem uma engine de renderização chamada EdgeHTML, que joga fora tudo de ruim que havia no Internet Explorer. Foram removidas 220.000 linhas de código, e acrescentadas 300.000 linhas para tornar o Edge mais compatível com a web moderna.

Além disso, o navegador terá um modo de anotações, que permite desenhar em cima da página e guardar a imagem no OneDrive; modo de leitura, que reformata artigos da web e salva artigos para ler depois; e a integração com a Cortana, para quem você pode fazer perguntas.

O Microsoft Edge será lançado apenas para o Windows 10; o sistema será distribuído como uma atualização gratuita a partir de julho. O Internet Explorer continuará presente no Windows 10, mas apenas por questões de compatibilidade.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Gizmodo