Total Security - www.totalsecurity.com.br
Gerais
Terça - 13 de Dezembro de 2005 às 19:02
Por: escritor

    Imprimir


Usuários que ainda não tenham migrado para a última versão do navegador Mozilla Firefox agora têm mais uma boa razão, graças a um hacker conhecido como Aviv Raff.Neste domingo (11/12), Raff publicou um modelo de código (veja aqui) que pode ser usado para assumir o controle de PCs que utilizam a versão 1.0.4 do browser ou anteriores.

O código se aproveita de um bug bastante conhecido (saiba mais) na forma que o Firefox processa a popular linguagem de programação para web Javascript.

"Acho que já houve tempo suficiente para as pessoas atualizarem a versão 1.0.4 do Firefox. Então, aqui vai a prova de conceito de como explorar a vulnerabilidade", escreveu o hacker no seu blog.

A falha foi corrigida na versão 1.0.5 do browser, lançada em julho passado, e também foi atualizada na versão 1.7.9 da Mozilla Suite, segundo Mike Schroepfer, vice-presidente de engenharia da Mozilla.

"Desde que os usuários mantenham seus PCs atualizados, em geral, estão bastante seguros", declarou o executivo.

Em alguns aspectos, este novo código é bastante similar a uma forma de ataque amplamente divulgada para o Microsoft Internet Explorer, disse Russ Cooper, editor da lista de notícias NTBugtraq e cientista da empresa de segurança Cybertrust.

"Ele permite instalar e rodar o código que o hacker escolher se a vítima visita o site com código malicioso", disse o especialista.

Segundo Cooper, usuários que não têm o hábito de atualizar seus navegadores com freqüência devem mudar de postura, já que os browsers estão "historicamente comprometidos".

"Isto quer dizer que as vulnerabilidades são regulares", acrescenta Cooper, recomendadndo o usuário a atualizar o browser a cada 30 dias, independente do tipo de patch lançado.

O código que tira vantagem de falha no IE, publicado em novembro, também explora problemas com o Javascript e não foi corrigido até agora.

A expectativa de analistas de segurança é que a correção saia nesta terça-feira (13/12).





Fonte: IDG Now!

Comentários

Deixe seu Comentário

URL Fonte: http://www.totalsecurity.com.br/noticia/984/visualizar/