Browsers estão vulneráveis a ataques 'clickjacking', alerta pesquisador
Por ComputerWorld/EUA
Publicada em 29 de setembro de 2008 às 07h00
Framingham - Ataque afeta todos os navegadores por bug que 'sequestra' cliques dos usuários. Falha pode estar associada ao Flash.
Pesquisadores de segurança alertaram, na sexta-feira (26/09), para uma nova classe de vulnerabilidades apelidada de "clickjacking", que coloca usuários da maioria dos browsers sob risco de ataque.
Clickjacking é uma espécie de "seqüestro" do clique do usuário que, percebendo ou não, clica em um link - que pode estar invisível - inserido em um site por meio de uma falha considerada 'zero day', presente no Internet Explorer, Firefox, Safari, Opera, Google Chrome e outros. O bug afeta também o Flash, da Adobe.
Os pesquisadores que apresentaram suas descobertas mantiveram suas informações confidenciais - de propósito - pelo menos até que um fabricante comece a trabalhar na correção.
Embora o ataque esteja associado a navegadores, o problema é mais profundo, segundo Robert Hansen, fundador e CEO da SecTheory LLC e um dos dois pesquisadores que discutiram o bug durante a AppSec 2008, realizada na quarta-feira (24/09).
Há boatos, inclusive, de que a falha esteja associada ao Flash, o "onipresente" player
multimídia da Adobe que a maioria dos usuários executa como plug-in em
seus navegadores. Não é preciso comprometer um site legítimo para conduzir este ataque.
Hansen considera o clickjacking similar aos pedidos falsos de sites, um tipo conhecido de vulnerabilidade que surge por um ataque de cross-site request forgery (CRSF), quando comandos não-autorizados são transmitidos por um usuário que o site confia. O clickjacking, contudo, é diferente o bastante para que os anti-CRSF dos navegadores, sites e aplicativos online se tornem inúteis.
Compartilhe:
- DEL.ICIO.US
- GOOGLE BOOKMARKS
- TECHNORATI
- NETVIBES
- DIGG
CONTEÚDO RELACIONADO:
- Cracker divulga código que explora vulnerabilidade no QuickTime
- Proteja-se de ataques que pegam carona na popularidade de redes sociais
- Pesquisador apresenta novo ataque que ameaça sistemas DNS
- Flash Player falso pode ser detectado pelo usuário, aconselha Adobe
- Acesso a redes sociais ameaça redes corporativas, afirma Trend Micro
IDG NOW! BUSCA:
Links patrocinados
ÚLTIMAS NOTÍCIAS DO IDG NOW!:
- McDonald´s quer reforçar integração tecnológica na América Latina
- Saiba os cuidados que blogueiros devem ter na hora de fazer campanha na rede
- 5 razões para ficar com o Windows XP
- Vendas do Snow Leopard superam em duas vezes a de seu antecessor
- Número de celulares habilitados no Brasil cresce 1,62% em agosto
- Camisetas para nerds são o suprassumo da moda geek
Celular zumbi
Celulares podem ser usados por novo código malicioso para ataques, alertam especialistas.
Da pescaria de senhas aos espiões de namoradas
Num mundo com mais de 6,8 bilhões de pessoas, quantas são hackers? Eis um clube exclusivo.
Links patrocinados
