IDG Now! » Segurança » Bugs e Falhas de Software

Browsers estão vulneráveis a ataques 'clickjacking', alerta pesquisador

Por ComputerWorld/EUA

Publicada em 29 de setembro de 2008 às 07h00

Framingham - Ataque afeta todos os navegadores por bug que 'sequestra' cliques dos usuários. Falha pode estar associada ao Flash.

Pesquisadores de segurança alertaram, na sexta-feira (26/09), para uma nova classe de vulnerabilidades apelidada de "clickjacking", que coloca usuários da maioria dos browsers sob risco de ataque.

Clickjacking é uma espécie de "seqüestro" do clique do usuário que, percebendo ou não, clica em um link - que pode estar invisível - inserido em um site por meio de uma falha considerada 'zero day', presente no Internet Explorer, Firefox, Safari, Opera, Google Chrome e outros. O bug afeta também o Flash, da Adobe.

Os pesquisadores que apresentaram suas descobertas mantiveram suas informações confidenciais - de propósito - pelo menos até que um fabricante comece a trabalhar na correção.

Embora o ataque esteja associado a navegadores, o problema é mais profundo, segundo Robert Hansen, fundador e CEO da SecTheory LLC e um dos dois pesquisadores que discutiram o bug durante a AppSec 2008, realizada na quarta-feira (24/09).

Há boatos, inclusive, de que a falha esteja associada ao Flash, o "onipresente" player multimídia da Adobe que a maioria dos usuários executa como plug-in em seus navegadores. Não é preciso comprometer um site legítimo para conduzir este ataque.

Hansen considera o clickjacking similar aos pedidos falsos de sites, um tipo conhecido de vulnerabilidade que surge por um ataque de cross-site request forgery (CRSF), quando comandos não-autorizados são transmitidos por um usuário que o site confia. O clickjacking, contudo, é diferente o bastante para que os anti-CRSF dos navegadores, sites e aplicativos online se tornem inúteis.