Browsers estão vulneráveis a ataques 'clickjacking', alerta pesquisador
Por ComputerWorld/EUA
Publicada em 29 de setembro de 2008 às 07h00
Framingham - Ataque afeta todos os navegadores por bug que 'sequestra' cliques dos usuários. Falha pode estar associada ao Flash.
Pesquisadores de segurança alertaram, na sexta-feira (26/09), para uma nova classe de vulnerabilidades apelidada de "clickjacking", que coloca usuários da maioria dos browsers sob risco de ataque.
Clickjacking é uma espécie de "seqüestro" do clique do usuário que, percebendo ou não, clica em um link - que pode estar invisível - inserido em um site por meio de uma falha considerada 'zero day', presente no Internet Explorer, Firefox, Safari, Opera, Google Chrome e outros. O bug afeta também o Flash, da Adobe.
Os pesquisadores que apresentaram suas descobertas mantiveram suas informações confidenciais - de propósito - pelo menos até que um fabricante comece a trabalhar na correção.
Embora o ataque esteja associado a navegadores, o problema é mais profundo, segundo Robert Hansen, fundador e CEO da SecTheory LLC e um dos dois pesquisadores que discutiram o bug durante a AppSec 2008, realizada na quarta-feira (24/09).
Há boatos, inclusive, de que a falha esteja associada ao Flash, o "onipresente" player
multimídia da Adobe que a maioria dos usuários executa como plug-in em
seus navegadores. Não é preciso comprometer um site legítimo para conduzir este ataque.
Hansen considera o clickjacking similar aos pedidos falsos de sites, um tipo conhecido de vulnerabilidade que surge por um ataque de cross-site request forgery (CRSF), quando comandos não-autorizados são transmitidos por um usuário que o site confia. O clickjacking, contudo, é diferente o bastante para que os anti-CRSF dos navegadores, sites e aplicativos online se tornem inúteis.
Compartilhe:
- DEL.ICIO.US
- GOOGLE BOOKMARKS
- TECHNORATI
- NETVIBES
- DIGG
CONTEÚDO RELACIONADO:
- Cracker divulga código que explora vulnerabilidade no QuickTime
- Proteja-se de ataques que pegam carona na popularidade de redes sociais
- Pesquisador apresenta novo ataque que ameaça sistemas DNS
- Flash Player falso pode ser detectado pelo usuário, aconselha Adobe
- Acesso a redes sociais ameaça redes corporativas, afirma Trend Micro
IDG NOW! BUSCA:
Links patrocinados
ÚLTIMAS NOTÍCIAS DO IDG NOW!:
- Telefônica: audiência pública da Câmara discutirá falhas em serviços
- Terra limita rede de acesso Wi-Fi grátis para assinantes de banda larga
- Novo game de Harry Potter chega às lojas brasileiras em 10 de julho
- Microsoft encerra Web Messenger
- Prefeitura de São Paulo lança portal para estimular adoção de animais
- Telefônica não cobrará taxa de rescisão do Speedy nos próximos 90 dias
Links patrocinados
Brasil no rastro dos golpes
Delegado da Polícia Federal detalha novo sistema para analisar golpes por e-mail no País.
Roubo de senhas
Denny Roger relata as técnicas mais utilizadas para roubo de senhas. Saiba como proteger a sua.
Links patrocinados









