Total Security - www.totalsecurity.com.br
Firefox 14 corrige vulnerabilidade
A versão 14 do Firefox, liberada na terça-feira (17/7), oferece uma porção de novas ferramentas relacionadas à segurança, bem como correções para diversas vulnerabilidades. O lançamento do Firefox 14.0.1 foi acompanhado de 14 alertas de segurança, cinco dos quais haviam sido classificados como críticos pela Mozilla.
Um deles tinha relação com a vulnerabilidade na função "javascript: URL" que pode permitir que crackers contornem a sandbox (um utilitário responsável por isolar aplicativos do restante do sistema operacional - que o deixa com acesso limitado) e executem scripts maliciosos com elevados níveis de privilégios.
Outra falha crítica corrigida no Firefox 14 poderia ser explorada para contornar wrappers - uma técnica de segurança que impede que uma página da rede execute o código não-autorizado.
Um problema crítico de memória corrompida decorrente da forma como a função "JSDependentString: undepend", responsável por converter sequências dependentes em fixas, também foi abordado. Se deixada sem correção, a falha pode ser utilizada para travar o navegador e possivelmente executar um código malicioso no sistema.
Os outros dois alertas de segurança ditos como críticos se referem a seis outras vulnerabilidades de memória corrompida, localizadas em vários componentes que também poderia levar à execução de um código arbitrário.
Os nove alertas restantes - quatro classificados como grave e quatro, moderado - são relativos a vulnerabilidades que poderiam facilitar cross-site scripting (XSS), sequestro de cliques e ataques de phishing, ou pode até permitir que crackers roubem credenciais de acesso OAuth 2.0 (framework que permite a aplicativos de terceiros acesso limitado a um serviço HTTP) e credenciais OpenID, enganando usuários para aceitar um certificado SSL falso e ocultando a URL maliciosa.
Além de abordar inúmeras vulnerabilidades, o Firefox 14 também garante buscas seguras pelo Google, habilitando HTTPS em pesquisas iniciadas por meio da barra de localização, da caixa de busca ou pelo menu do botão direito.
"Nós automaticamente tornamos suas buscas no Google seguras quando feitas pelo Firefox, a fim de proteger seus dados contra potenciais olhos curiosos, como os de administradores de rede, quando você utiliza computadores públicos ou compartilha de redes Wi-Fi", disseram os desenvolvedores da Mozilla, em um post de blog, na terça-feira (17/7). "O Google é atualmente o único motor de busca que permite ao Firefox tornar suas pesquisas privadas, mas estamos ansiosos para apoiar outros mecanismos de pesquisa com esse recurso no futuro."
O Firefox 14 também vem com ícones da barra de URL simplificados que facilitam para os usuários determinar o nível de segurança de conexão de diferentes sites.
Sites não-HTTPS serão identificados com o ícone de um globo cinza exibido na frente de sua URL, sites HTTPS terão o ícone de um cadeado cinza, enquanto que sites HTTPS que usam um certificado EV (Extended Validation) terão um ícone de cadeado verde exibido na barra de URL junto ao nome do proprietário do certificado.
Outro recurso relacionado à segurança no Firefox 14 é a ativação opt-in para plug-ins. Também conhecido como "click to play", esta ferramenta exige a aprovação do usuário para a reprodução de plug-in baseado em conteúdo como Flash ou Java quando ele estiver habilitado.
O recurso ainda está sendo trabalhado, então, por enquanto, só pode ser ativado manualmente nas "configurações" - não pode ser habilitado a partir de "Opções" do navegador.
Um deles tinha relação com a vulnerabilidade na função "javascript: URL" que pode permitir que crackers contornem a sandbox (um utilitário responsável por isolar aplicativos do restante do sistema operacional - que o deixa com acesso limitado) e executem scripts maliciosos com elevados níveis de privilégios.
Outra falha crítica corrigida no Firefox 14 poderia ser explorada para contornar wrappers - uma técnica de segurança que impede que uma página da rede execute o código não-autorizado.
Um problema crítico de memória corrompida decorrente da forma como a função "JSDependentString: undepend", responsável por converter sequências dependentes em fixas, também foi abordado. Se deixada sem correção, a falha pode ser utilizada para travar o navegador e possivelmente executar um código malicioso no sistema.
Os outros dois alertas de segurança ditos como críticos se referem a seis outras vulnerabilidades de memória corrompida, localizadas em vários componentes que também poderia levar à execução de um código arbitrário.
Os nove alertas restantes - quatro classificados como grave e quatro, moderado - são relativos a vulnerabilidades que poderiam facilitar cross-site scripting (XSS), sequestro de cliques e ataques de phishing, ou pode até permitir que crackers roubem credenciais de acesso OAuth 2.0 (framework que permite a aplicativos de terceiros acesso limitado a um serviço HTTP) e credenciais OpenID, enganando usuários para aceitar um certificado SSL falso e ocultando a URL maliciosa.
Além de abordar inúmeras vulnerabilidades, o Firefox 14 também garante buscas seguras pelo Google, habilitando HTTPS em pesquisas iniciadas por meio da barra de localização, da caixa de busca ou pelo menu do botão direito.
"Nós automaticamente tornamos suas buscas no Google seguras quando feitas pelo Firefox, a fim de proteger seus dados contra potenciais olhos curiosos, como os de administradores de rede, quando você utiliza computadores públicos ou compartilha de redes Wi-Fi", disseram os desenvolvedores da Mozilla, em um post de blog, na terça-feira (17/7). "O Google é atualmente o único motor de busca que permite ao Firefox tornar suas pesquisas privadas, mas estamos ansiosos para apoiar outros mecanismos de pesquisa com esse recurso no futuro."
O Firefox 14 também vem com ícones da barra de URL simplificados que facilitam para os usuários determinar o nível de segurança de conexão de diferentes sites.
Sites não-HTTPS serão identificados com o ícone de um globo cinza exibido na frente de sua URL, sites HTTPS terão o ícone de um cadeado cinza, enquanto que sites HTTPS que usam um certificado EV (Extended Validation) terão um ícone de cadeado verde exibido na barra de URL junto ao nome do proprietário do certificado.
Outro recurso relacionado à segurança no Firefox 14 é a ativação opt-in para plug-ins. Também conhecido como "click to play", esta ferramenta exige a aprovação do usuário para a reprodução de plug-in baseado em conteúdo como Flash ou Java quando ele estiver habilitado.
O recurso ainda está sendo trabalhado, então, por enquanto, só pode ser ativado manualmente nas "configurações" - não pode ser habilitado a partir de "Opções" do navegador.
Os recursos não relacionados à segurança do Firefox 14 incluem suporte de tela cheia para Mac OS X Lion, barra de auto-completar para URLs digitadas e suporte para Pointer Lock API, um aplicativo de programação que dará a Web apps e jogos melhor controle sobre o mouse.
Fonte:
IDGNOW
URL Fonte: http://www.totalsecurity.com.br/noticia/2682/visualizar/
Comentários