Falha de segurança: navegadores Edge e Safari

Uma falha de segurança identificada no Microsoft Edge e no Safari permitia que cibercriminosos enganassem usuários desses dois navegadores web de uma maneira relativamente fácil. Rafay Baloch, um pesquisador de segurança digital independente, percebeu que era possível recarregar e redirecionar uma página web para outro site sem que a barra de endereços desses dois navegadores fossem alteradas.

Em outras palavras, um hacker poderia criar um site fictício de algum portal de banco ou qualquer outra plataforma online de valor e redirecionar os visitantes para endereços forjados sem que eles pudessem ver a verdadeira URL no topo da página. Com isso, um site qualquer poderia se passar por um site de uma instituição financeira, por exemplo, a fim de roubar dados bancários de seus clientes.

Esse problema foi reportado tanto para a Microsoft quanto para a Apple no começo de junho deste ano. A empresa de Bill Gates corrigiu o problema em agosto, mas a Apple sequer respondeu Baloch.

Dessa forma, até esse momento, o Safari continua vulnerável, enquanto o Edge já não permite que golpes explorando essa falha atinjam seus usuários. Baloch explicou que esperou o tradicional prazo de 90 dias antes de divulgar a falha, a fim de evitar que usuários fossem prejudicados, mas a Maçã parece não ter se importado com a divulgação dos detalhes por parte do pesquisador.

A empresa de Tim Cook ainda não falou oficialmente sobre o caso, e não sabemos quando nem se esse problema será corrigido no Safari.

Fonte: Tecmundo

Safari tem falha de segurança que possibilita redirecionamento para sites maliciosos

SafariAs mais recentes versões do safari para Mac OS X e iOS estão vulneráveis a um URL-spoofing que permite aos hackers realizarem ataques de phishing. Essa falha grave de segurança do navegador da Apple pode ser utilizada para redirecionar os usuários para sites maliciosos utilizando URLs autênticas.

A descoberta foi realizada pelo pesquisador de segurança David Leo, que publicou uma prova da falha presente na versão mais recente do Safari. De acordo com a amostra do pesquisador, ao abrir o site dailymail.co.uk foi possível exigir o conteúdo de outro site, no caso o deusen.co.uk, hospedado em seu próprio servidor. A falha foi apresentada tanto no Mac OS X quanto no iOS 8.3 de um iPhone 5S.

“Embora este teste de conceito não seja perfeito, ele definitivamente poderia ser utilizado por ataques de phishing muito facilmente”, declarou Manuel Humberto Santander Peláez, da SANS Internet Storm Center.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

Apple atualiza Safari corrigindo falhas de segurança

safariO navegador da empresa americana Apple recebeu uma atualização nesta terça-feira (17). Trata-se de uma nova versão do Safari que já está disponível para o sistema da empresa, o OS X Yosemite, bem como para o Mavericks e para o Mountain Lion. A nova versão acompanha os números 8.0.4, 7.1.4 e 6.2.4, respectivamente.

A atualização não inclui nenhum novo recurso. A empresa fez a mudança apenas para melhorar a estabilidade do navegador e corrigir falhas de segurança sérias envolvendo o Webkit que poderiam ser exploradas por cibercriminosos mal intencionados. O Webkit é uma tecnologia que permite interpretar e exibir páginas da web e é utilizado pelo Safari e também pelo Google Chrome.

A primeira falha está relacionada a um problema de inconsistência na interface gráfica. O erro poderia ser utilizado para mascarar uma URL, trazendo confusão ao usuário e fazendo com que pudesse cair em um golpe de phishing. A Apple corrigiu o problema com melhorias nos testes de consistência na interface gráfica do navegador.

A outra falha corrigida no Safari permitia que os usuários maliciosos criassem sites que forçariam o encerramento instantâneo do browser ou o fariam executar códigos perigosos. Tal vulnerabilidade foi causada por problemas de corrupção de memória que já foram corrigidos. Em um artigo de suporte, a empresa detalha mais informações sobre a atualização.

Fora isso, a Apple não forneceu mais detalhes sobre as falhas, mas afirmou que novas informações serão fornecidas assim que as correções relacionadas forem liberadas.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

Apple atualiza Safari 7.1 com DuckDuckGo e Yahoo

safariOs usuários do OS X Mavericks já podem utilizar o novo navegador Safari. A nova versão – de número 7.1 – traz o DuckDuckGo como sistema de busca padrão, além de várias melhorias de segurança para usuários do Yahoo. A mudança do sistema de busca ocorre pouco após o vazamento de dados sigilosos do serviço iCloud e converge com diversas ações da empresa para garantir a privacidade dos usuários, como uma nova seção adicionada a seu site sobre o tema, assinada pelo CEO Tim Cook.

DuckDuckGo
O sistema de buscas DuckDuckGo foi criado em 2006, mas se tornou popular após a revelação de que o governo americano estaria espionando o tráfico de dados de empresas como o Google e a própria Apple. Ele se diferencia por não usar os dados de navegação do usuário em seu banco de dados, incluindo o endereço IP.

Yahoo! Search
Mesmo assim, quem preferir fazer buscas pelo Yahoo vai descobrir que elas, a partir de agora, são encriptadas. Outras novidades incluem melhorias no recurso de autocompletar, que ganhou melhor compatibilidade com sites.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Techtudo

Novo Safari está mais seguro

MavericksAplicativo deve limitar algumas “ações privilegiadas” do Flash Player; usuários ficarão menos vulneráveis a ataques de malwares

O Mac OS X 10.9, novo sistema operacional da Apple, foi agraciado por uma otimização. “Com o lançamento do Safari para o OS X Mavericks nesta semana, o Flash Player vai estar agora protegido pelo aplicativo OS X Sandbox”, afirma Peleus Uhley, gerente de estratégias de segurança de plataformas da Adobe.

Este modo seguro restringe alguns “privilégios” anteriormente concedidos ao navegador – o software não será mais capaz de, por exemplo, informar certos dados à memória de determinados dispositivos. Esta nova ação faz com que os usuários do Mavericks fiquem menos vulneráveis a ataques de malwares.

“O Sandbox também limita a conexão local do Flash Player aos recursos de dispositivos e aos processos internos de comunicação via canais (IPC). Finalmente, o Sandbox limita a conexão do Flash Player, ‘evitando conexões desnecessárias’”, esclarece também Uhley.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Safari: do último para o primeiro lugar em segurança

Navegador foi o único não atacado durante a ‘Pwn2Own’.
Em edições anteriores, Safari foi o primeiro a ‘cair’.

A edição 2012 da competição de segurança Pwn2Own, que disponibilizou o Internet Explorer, o Chrome, o Firefox e o Safari para que fossem atacados por pesquisadores, terminou com a vitória da equipe de segurança da empresa francesa Vupen, que atacou com sucesso o Chrome e o Internet Explorer. Entre os navegadores, apenas o Safari, da Apple, não foi atacado com sucesso.
O Firefox foi atacado pela dupla de pesquisadores formada por Willem Pinckaers e Vincenzo Iozzo. Os dois conseguiram criar uma página web que, quando acessada, executava códigos no computador. Eles ficaram em segundo lugar na competição e ganharam US$ 30 mil. O primeiro lugar, da Vupen, levou US$ 60 mil.

O primeiro navegador a ser atacado foi o Chrome, do Google – o oposto do que aconteceu em 2011, quando o Safari foi o primeiro a cair, e o Chrome saiu ileso.
A Pwn2Own acontece durante a conferência de segurança CanSecWest, em Vancouver, no Canadá. Este ano, uma mudança nas regras permitiu que os participantes não revelassem falhas aos fabricantes de software. A vencedora Vupen vai reter informações sobre falhas críticas no Internet Explorer e no Chrome e fornecer os dados apenas aos seus clientes.
O Google organizou uma competição paralela, a Pwnium, apenas com o Chrome. Nessa competição, qualquer um que conseguisse burlar a proteção do Chrome usando falhas no próprio navegador levaria US$ 60 mil até o máximo de US$ 1 milhão. O navegador foi atacado com sucesso duas vezes, uma delas por um adolescente que se identificou como “Pinkie Pie”, personagem da série animada “My Little Pony”.

Agradeço aos amigos Vanderlei, Marcelo e Davi, pela referência a esta notícia.

Fonte: G1