domingo, junho 13, 2010

Links Comentados #9 - Semana da (In)Segurança

A semana passada foi bastante agitada em termos de segurança e insegurança no "mundo digital", com uma surpresa nos patches da Microsoft, versões novas de Flash, Chrome e Safari, invasão em massa de sites, roubo de emails de usuários do iPad e uma divulgação incomum de uma nova falha de segurança no Windows.

Obs.: a maioria dos links é para o The Register, que agrupa muito bem este tipo de notícia.

Surpresa nos Patches do Mês da Microsoft

Terça passada foi a "Patch Tuesday", com uma penca de atualizações (faltou uma para completar uma dúzia) e a necessidade de reiniciar o micro ao final. Até aí, nenhuma novidade. Entretanto, uma atualização para o "Search Enhanced Pack" (um componente comum às barras de busca para Windows Live, MSN e Bing) acabou instalando a barra de busca do Bing no IE ou Firefox para quem tinha a barra do Windows Live ou MSN. Sem pedir permissão ao usuário e sem uma desinstalação fácil. Segunda a Microsoft, foi um bug já corrigido.

http://www.theregister.co.uk/2010/06/11/microsoft_slips_firtefox_add_on_into_software_update/


Nova Versão do Flash

Parece que a Adobe está se mexendo para limpar o seu backlog de falhas de segurança: nada menos que 32 delas são corrigidas na atualização da semana passada.

http://www.sophos.com/blogs/gc/g/2010/06/11/critical-patches-update-adobe-flash-player/
http://www.theregister.co.uk/2010/06/10/critical_adobe_flash_vuln_fix/


Nova Versão do Chrome

A Google ficou para trás da Adobe: a nova versão do Chrome corrige "somente" 11 falhas de segurança (nove delas consideradas "high level").

http://www.theregister.co.uk/2010/06/11/chrome_fix/


Versão Nova do Safari

Em uma primeira vista, a nova versão do Safari se destaca pelos novos recursos, não pela correção de falhas de segurança.

Entretanto, ele tenta solucionar uma brecha que existe em todos os navegadores e que permitia a um site puxar o histórico de visitas. A nova versão acrescenta também uma proteção contra ataques do tipo XSS (cross site scripting), mas parece que ela é facilmente burlável.

http://www.theregister.co.uk/2010/06/08/safari_history_leak_fix/

Os usuários de Mac que costumam se achar acima das falhas de segurança, vão se assustar em saber que esta nova versão do Safari corrige 48 falhas de segurança:

http://www.sophos.com/blogs/gc/g/2010/06/08/swarm-safari-security-holes-mac-windows-users-told-update/


Invasão Em Massa de Sites

Aproveitando uma falha existente em um módulo de apresentação de anúncios em banner, "criminosos cibernéticos" colocaram scripts de ataque em mais de 1000 sites. Quem acessa um site comprometido corre o risco de ser infectado. A técnica por trás do ataque parece ser o nosso velho conhecido "SQL injection".

http://www.theregister.co.uk/2010/06/09/mass_webpage_attack/


Roubo de Emails de Usuários de iPad

Esta notícia surgiu na web como "Apple's Worst Security Breach: 114,000 iPad Owners Exposed" mas trata-se de algo mais embaraçoso que crítico - e não envolve diretamente a Apple.

Um grupo encontrou uma vulnerabilidade no site da AT&T que permitiu obter mais de 114 mil endereços de email de usuários de iPad. Do ponto de vista técnico, o que ocorreu é que o site permitia obter o endereço de email do usuário a partir do ICC-ID (um código que identifica o SIM card). Como o site não tinha nenhuma proteção contra tentativas consecutivas, o grupo gerou uma quantidade imensa de ICC-IDs e obteve os 114 mil emails. Provavelmente estes usuários de iPad vão ter um acréscimo de spam, mas certamente não será o "fim da civilização tal qual a conhecemos".

http://www.theregister.co.uk/2010/06/09/ipad_security_breach/
http://www.sophos.com/blogs/gc/g/2010/06/10/ipad-owners-email-addresses-exposed-stay-calm/


Nova Falha de Segurança Encontrada no Windows - e um "Exploit" Anunciado aos Quatro Ventos

Tavis Ormandy é um engenheiro de segurança e encontrou uma falha no Windows. Utilizando esta falha no tratamento do protocolo hcp:// (usado para dar a aplicações web acesso ao sistema de help da Microsoft) é possível obter a temível "execução remota de código arbitrário". Como todo indivíduo "do bem", Ormandy tratou de avisar a Microsoft, que confirmou o recebimento do aviso. Até aqui, tudo relativamente normal.

Entretanto, cinco dias após avisar a Microsoft, Ormandy colocou uma descrição completa da falha, inclusive com um exemplo de como explorá-la, na lista Full Disclosure. A discussão está no link abaixo; exceto pelo post original o nível é bastante baixo (e não estou falando da parte técnica):

http://seclists.org/fulldisclosure/2010/Jun/205

Eu faço coro aos que consideram esta atitude de Ormandy como desnecessariamente imprudente. Cinco dias é claramente um tempo insuficiente para confirmar o problema, idealizar uma solução e distribuí-la. A justificativa de que esta era a única forma de garantir que a falha receberia a devida atenção da Microsoft não me convence. A ação de Ormandy transformou o que era um risco em potencial (não existe evidência que ela estivesse sendo explorada) em um risco real e imediato (basta seguir a receita de bolo gentilmente fornecida por ele). Ele poderia ter obtido um resultado semelhante e mais seguro anunciando publicamente a existência da vulnerabilidade mas sem divulgar detalhes e exemplos que permitissem a sua exploração imediata. De quebra, Ormandy colocou em uma situação desconfortável o seu empregador (Google), já que algumas pessoas viram a ação como parte de um complô.

A Microsoft reagiu da forma de costume, publicando um aviso sobre a possível vulnerabilidade, sugerindo providências temporárias enquanto o assunto é examinado:

http://www.microsoft.com/technet/security/advisory/2219475.mspx

As versões mais recentes de Windows (Vista, Server 2008 e Seven) não são afetadas pelo problema.

Resta lembrar que o próprio Ormandy reconhece que a falha não é óbvia, nem a sua exploração. Ou melhor, não era até ele publicar um exemplo.

http://www.theregister.co.uk/2010/06/11/google_microsoft_zeroday/
http://www.sophos.com/blogs/gc/g/2010/06/11/google-engineer-act-irresponsibly-microsoft-zeroday-disclosure/

Nenhum comentário: