Notícia publicada por brain em outubro 25, 2004 10:41 PM
| TrackBack
Marcelo Vivan Borro (marcelovborro@ig.com.br) enviou este link e acrescentou: "'Foram descobertas várias vulnerabilidades, algumas com graves conseqüências, que atingem múltiplos navegadores, inclusive alguns dos mais populares atualmente. Elas podem ser exploradas remotamente para capturar informações sensíveis, causar negação de serviço e emitir caixas de diálogo falsificadas, dependo do navegador. De acordo com a empresa de segurança Secunia, quando um usuário está com múltiplas abas abertas do navegador, uma que esteja inativa poderia lançar uma caixa de diálogo que seria vista mesmo que o usuário estivesse em uma janela diferente. Como conseqüência, um atacante remoto poderia falsificar funções no site apresentado na aba ativa.' Fiz os testes sugeridos na notícia usando o Mozilla 1.7.3 e o Konqueror 3.2, e ambos mostraram-se vulneráveis a pelo menos uma da vulnerabilidades citadas." Atualização: veja também a cobertura do Silicon.com sobre esta série de vulnerabilidades em navegadores populares - ao contrário da notícia do InfoGuerra, que por alguma razão se concentra nos navegadores disponíveis para Linux, a versão internacional não deixa de mencionar as novas vulnerabilidades exclusivas de outros sistemas.
1) o negocio das tabs nao eh erro
2) msm se fosse considerado erro, nao eh ultra grave
3) só idiotas caem nesses truques baratos, o q leva a crer novamente q nao eh problema de seguranca e sim de inteligencia
4) testei os 2 links da secunia com "demonstracoes de ataque" e nenhum dos 2 funcionou no meu firefox (FF1.0PR-20041021 Linux). no da popup, só mostrou a popup e nem abriu o citibank; no do formulario, nao aconteceu absolutamente nada
5) deviam pensar antes de publicar materias sensacionalistas aqui. um site de linux, q apoia o movimento opensource, devia defende-lo e nao alimentar sensacionalismos baratos...
Você pode achar que não é bug, mas os desenvolvedores do Konqueror avisaram que já corrigiram na semana passada mesmo, e os do Firefox já avisaram que vão consertar a tempo do 1.0 (http://software.silicon.com/security/0,39024655,39125167,00.htm)
É justamente por parar para pensar que eu não deixo de publicar links para alertas de vulnerabilidade. Se você pensa que isso é propaganda negativa, ou que a culpa é do eventual usuário final das versões afetadas que não percebe a exploração, é opção sua. Eu prefiro anunciar. Temos motivos de sobra para propaganda positiva, e não precisamos esconder as imperfeições eventualmente apontadas.
ops, acho q fui mal interpretado...
o q quis dizer eh: essa noticia saiu em um monte de lugares pq realmente eh uma questao (q, repito, nao eh uma "falha grave") a se considerar (nao podemos contar com a inteligencia dos usuarios mesmo). questiono só a publicacao de uma materia de tom sensacionalista; seria mto melhor ter publicado uma materia q abordasse o tema do ponto de vista da comunida opensource e nao essa materia ultra-sensacionalista...
só isso, mais nada. apóio, com certeza, a publicacao de erros relacionados à comnunidade opensource afinal eh por isso q essa forma de desenvolvimento eh na maioria das vezes melhor q o codigo proprietario
(acho q fui meio inflamado ne? hehehe eh q realmente fico mto chateado qdo saem materias com o tom dessa do link)
só complementando: esse ultimo link, pro silicom.com, expoe o problema perfeitamente. cita como falhas apenas e ainda mostra q o IE, sim, possui falhas graves e vulnerabilidades.
aquele InfoGuerra foi absurdamente infeliz e sensacionalista!
ok? ;-)
__Lembrando que o InfoGuerra, que só aferiu falhas do nos navegadore alternativos nesta matéria, também bombardeou o Internet Explorer em outras, na mesma página da matéria há um link 'Falhas graves no IE ainda não têm correção'.Devido ao comodismo acho díficil o usuário 'trocar' o seu browser já instalado pelo Mozilla (questão CURTURAL)!
pode ser questão de comodismo mesmo bebeto, mas quando um cara abandona o IE e passa a usar mozilla, por exemplo e ver páginas mal formadas na tela, acho que ele trata de voltar pro IE. Não é meu caso mas muitas pessoas, usuarios comuns devem pensar assim.
Para quem não leu a metéria completa e seguiu o link dos testes, o I.E. também é afetado pelas falhas, com a única diferença que ao invés de se abrir uma nova aba, uma nova janela do navegador deve ser aberta.
Concordo que o tom sensacionalista é um pouco exagerado, mas é apenas uma indicação de uma matéria em outro site.
Os resultados dos testes podem variar, mas em uma configuração padrão dos browsers, isto é com o java script ativado, os mesmos estão vulneráveis. Desativando-se o java script o problema não ocorre mais (porém não é possível navegar em muitos sites).
Não há porque tentar tapar o sol com a peneira quando uma vulnerabilidade é descoberta em um Software Livre. Como administradores ou mesmo usuários, devemos estar cientes das mesmas para que não ocorram falhas de segurança até que uma correção apropriada seja liberada ( o que tratando-se de Software livre costuma ocorrer em questão de poucos dias :-) ).
Rivo, infelizmente não são apenas usuários comuns que pensam assim, até mesmo pessoas mais técnicas se acomodam o suficiente pra ter esse tipo de atitude.
Rafael, ai eu acredito que o erro não é do usuário e sim do desenvolvedor da página.
Faz tanto tempo que nem lembro. Eu já tinha pensado nesta hipótese, desde os primórdios do Ópera, um dos, se não o 1º, que começou a utilizar as abas para navegação. Nunca me estressei muito com isso, pois nunca gostei da navegação por abas. Prefiro janelas separadas.
Buenas, o que falta na verdade é informação adequada de quem navega pela internet, pq digo isso?! Pq quando navego pela internet e não sei a origem de um determinado site, eu desabilito todas as funções que possam causar algum dano no meu sistema(o que é dificil, uso FreeBSD 5.1), e todos sabem que a grande Mercadoria é sempre feita pelo proprio usuário que não tem acesso a informação sobre segurança(ou não quer ter), se há erros, corrige-se, e toca o barco, não concordo com sensacionalismo que eles fazem, mas fazer o que?! Sempre haverá GREGOS e TROIANOS. Baita abraço.
Comentários desativados: Esta discussão é antiga e foi arquivada, não é mais possível enviar comentários adicionais.