Mozilla corrige rapidamente correção para falha no Firefox com a versão 3.6.12

A Mozilla reagiu rapidamente para corrigir uma vulnerabilidade 0-day no Firefox. A falha ficou conhecida na mídia principalmente através de um exploit no site do Prêmio Nobel da Paz na última terça (26/08) e corrigida ontem de manhã (28/08). Apesar do exploit ter sido direcionado a máquinas Windows, a falha permitia que PCs rodando Mac… Read More

3 alternativas para se proteger do Firesheep

Conforme comentamos ontem, o Firesheep é um plugin do Firefox que escancara o problema da facilidade da captura de dados em conexões HTTP(não encriptadas). Mencionamos também 2 técnicas para se proteger, que seriam utilizar um plugin para forçar conexões HTTPS (HTTPS Everywhere no Firefox) e a utilização de VPN. O pesquisador de segurança Jeronimo Zucco… Read More

Captura de sessões com o Firesheep – como se proteger?

Foi lançada uma extensão para Firefox, Firesheep, que facilita o processo de captura de sessões (session hijacking) – com apenas um clique um atacante pode capturar sessões de diversos sites (Twitter, Facebook etc.) de quaisquer máquinas na mesma rede. Veja mais detalhes no site do Firesheep. Como fazer para se proteger? Segundo o autor, a… Read More

Mozilla alerta: exploit 0-day do Firefox sendo usado em ataques

A empresa de segurança Norman anunciou ontem (26/10) ter encontrado uma vulnerabilidade no Firefox que permite que usuários maliciosos instalem um trojan no computador de visitantes de um site comprometido sem qualquer tipo de aviso na tela, de forma automática. Dentre os sites teoricamente comprometidos estaria o site do prêmio do Nobel da Paz. A… Read More

Entenda e evite o funcionamento de exploit CSS XSS para Mozilla Firefox

Em artigo em seu blog, Zachary Weinberg fala sobre o funcionamento de uma vulnerabilidade recém corrigida no parser CSS que permite um ataque XSS (cross-site scripting). De forma semelhante a muitos ataques XSS, o próprio webmaster do site pode tomar providências para evitar que seus visitantes utilizando versões afetadas pela vulnerabilidade sejam afetados, e o… Read More

Mozilla acalma anseios sobre alerta de phishing em URLs no Firefox

Desenvolvedores do Firefox descobriram em junho um bug no sistema de alerta de phishing em URLs. O sistema funciona avisando o usuário quando um link leva a um endereço potencialmente ofuscado (por exemplo http://google.com@yahoo.com). Entretanto, o sistema não avisa URLs em frames ou iframes. Alguns pesquisadores de segurança declararam o risco que este comportamento pode… Read More

Um a cada dez descobridores de vulnerabilidades de segurança recusam recompensa, afirma Mozilla

A Mozilla foi uma das primeiras empresas a pagar recompensas em dinheiro por vulnerabilidades de segurança. Oferecendo $500 desde agosto de 2004, já foram mais de 120 bugs recompensados para 80 pesquisadores. Recentemente, a recompensa subiu para um teto de $3000 para bugs críticos. Entretanto, 10% a 15% dos descobridores de bug recusam o pagamento.… Read More

Lista dos ataques mais populares: XSS e SQL Injection lideram ranking.

A empresa de segurança Cenzic divulgou um relatório estatístico sobre as tendências de segurança em aplicações Web com dados do primeiro semestre de 2010. Segundo o relatório, 66% das vulnerabilidades reportadas afetaram tecnologias ligadas à web, tais como servidores, aplicações e browsers. Os ataques mais populares foram de XSS (Cross Site Scripting), respondendo por 28%,… Read More