- Feed completo
- Feed dos comentários
- Feed do Fórum
- Feed Canal Games
- Feed Canal Fotografia
- Feed Canal Mobile
- Receba o Meio Bit via e-mail
Fórum
Últimos tópicos no fórumÚltimas respostas no fórum
- Ajuda para comprar um notebook
- instalar mac osx em pc
- Novo Portal Terra. Não funciona no Chrome?
- Você consegue resolver esse enigma?
- Campus Party
- Dica de Headset
- Pilhas recarregaveis?
- OpenID consertado !
- Vendo D60 com lente 18-55mm VR
- nova ortografia brasileira no Microsoft Office
- ajuda com placa mãe....
- Feed de comentários consertado !
Newsletter
Mantenha-se informado sobre as nossas novidades com nosso newsletter semanal, todas as segundas-feiras
Categorias
Áudio Vídeo Fotografia
Acessórios
Análise
Análises
Anúncios
Anúncios
Apple e Mac
Artigo
Blog
Celular
Computação móvel
Computadores
Comunicação Digital
Cultura Gamer
Destaque
Destaque
Dicas
Download
Equipamentos
Games
Google
Hardware
Indústria
Indústria
Internet
Linux
Microsoft
Miscelâneas
Miscelâneas
MMO
Museu
Nintendo
Open-Source
Periféricos
Podcast
Portáteis
Preview
Produtividade
Propaganda & Marketing
Publicidade
Rumores
Seguranca
Software
Sony
Tutorial
Vídeos
VoIP
Web 2.0
Web Games
Wireless e Redes
Isso que é agilidade: Falha grave de segurança no Firefox poucas horas após lançamento
Enviado por Carlos Cardoso
em 10 Fevereiro, 2008 - 13:38
Da série "ah se fosse a Microsoft", temos um bug sério no Firefox 2.0.0.12, divulgada pelo Hacker Webzine.
Com essa falha é possível acessar qualquer arquivo dentro do diretório do Firefox, incluindo suas preferences. E se você pensou que com isso uma página maligna pode acessar seus arquivos de senhas, usernames, autocompletes e similares, pensou o mesmo que eu.
Ainda não há correção, a sugestão é utilizar a extensão NoScript, que desabilita Javascript, Java e outros executáveis em qualquer página não definida por você como segura.
Fonte: Slashdot
- Ueba
- Rec6
- entre com seu usuário e senha ou registre-se no site para enviar comentários
Natural de um browser largamente utilizado ter falhas de segurança desse tipo.
O que recomendo agora é ter muito cuidado com os sites que vai acessar.
Quanto as falhas do Firefox & IE, o Firefox tem corrigido suas muitas falhas bem mais rápido do que o IE.
Espero que em breve o Firefox 3 aprimore bastante a questão da segurança.
É, se for ver faz + de mês que não vejo nenhuma atualização do IE no Win Update... >.<"
Será que porque talvez não haja atualização de segurança a fazer?
???
Aproveitando a discussão sobre browser, e puxando uma sobre SO, apenas para aumentar conhecimentos gerais ... qual foi...
a) o menor intervalo de correção de uma falha de alguma versão do Windows ?
b) o maior tempo em que alguma versão do windows ficou sem nenhuma falha apontada ?
===
Blog: Livre e Social
Natural de um browser largamente utilizado ter falhas de segurança desse tipo.
Estranho como o povo não pensa assim quando surgem falhas no Internet Explorer.
-------------------------------------------------------
Diesoft Games
A questão é que pouco me lixo para o que o povo pensa.
E resource:// nunca foi ou será a falha apocaliptica de final de mundo, não da acesso a nada além de arquivos de configuração global.
O Pink e o Cérebro podem usar para criar um gráfico de como ao redor do planeta o FF é configurado.
Pois é Diego, nos softwares livres as falhas são mais aceitáveis do que com os softwares privados.
Não acho que essa opinião seja um conceito errado pois se eu pago por um produto eu quero que ele seja bom, mas se é "digrátis" eu vou reclamar de que? é só não usar.
...
David
Nenhum comentário por parte da Mozilla ainda!?
Conforme indicado mais abaixo por outro comentarista, Mike Shaver ("Director of Ecosystem Development" do Mozilla) e o Mozilla Security Group deram uma olhada na questão e até o momento eles acham que o cara do Hacker Webzine simplesmente ERROU.
Inclusive, NÃO seria a primeira vez q ele ERRA ao afirmar que o Mozilla tem um problema de segurança. A diferença é que da última vez ele admitiu.
No blog do Shaver vc encontra o comentário dele, com direito a réplica do Ronald van den Heetkamp (Hacker Webzine) e tréplicas de outros comentaristas apontando as contradições do anúncio original.
Não é que o Firefox seja perfeito, mas a questão levantada existe há anos e está longe de ser uma "vulnerabilidade grave".
[ ]s,
olival.junior
É Cardoso, navegar na internet nunca foi tão perigoso... Desse jeito, a porcentagem de usuários afetados no Linux que navegam na internet pode ser maior que a de Windows. To torcendo para o Konqueror 4 chegar logo para aumentar as opções de navegadores open. E o Opera, é utilizado por muitos usuários Linux?
Acredito que com uma decente adoção dos Web Patterns por todos os navegadores ajude a equilibrar o mercado e desse modo torcemos que esse tipo de falha afete muito menos usuários em várias plataformas.
Eu mesmo, to sentindo que só tenho o Firefox como único navegador bem suportado no Linux. Talvez se eu ignorar um pouco a ideologia e instalar o Opera for Linux melhore um pouco.
Alguém já percebeu que o site de alguma operadora de celular que eu não lembro agora não está funcionando no Firefox?
Do mais, valeu pelo aviso
Não diga besteira, quantas falhas de segurança estão abertas no IE6 e no IE7?
Da uma olhada e fala alguma coisa.
O konqueror 4 nem está tão bom assim... Não ainda....
-----
Para aquele que controla o próprio pensamento, todo o resto se torna simples jogo de crianças...
Gandhi.
Isso é o que acontece quando se tem um produto popular.
Claro que se o Linux fosse mais popular ele seria uma excessão à essa regra pois ele é perfeito... ah o Mac OS também é perfeito.
Linux depende do Kernel em produção.
Mac Os não faltam bugs mascarados, mas depende da versão também.
Alguem me mostre um software recem lançado sem bugs?
agora eu uso essa extensão por padrão no meu micro. só habilito as paginas que precisam realmente...
Linux? Windows? OSX? Use o que for melhor para vc... STOP Trolls!
Recém-lançado? Então você começa a contar do zero a cada micro-atualização de versão?
E sim, essa versão traz aprimoramentos... Diria que pode ser considerado um novo software.
Tem que ser re-homologado e etc... em muitas empresas.
Que aprimoramentos ?
Não há uma única feature nova nos "release notes".
Ai, se fosse o IE... Como o mundo é dois pesos, duas medidas...
Caíram matando no Safari quando ele teve seu primeiro release Beta "dann ist aber die Kacke am Dampfen" pro windows, chamando ele de porcaria pra baixo.
Agora, quando é o queridinho da família... falha grave é feature.
Toda a ajuda é bem vinda na briga de Daví contra Golias. Petição online para que a Microsoft deixe de fabricar o Windows
Aprimoramentos de segurança.
Pense antes de falar.
Quem deveria pensar é você, antes de dizer que "Aprimoramentos de segurança" tornariam isso um "software novo". É piada.
Web forgery overwrite with div overlay
URL token stealing via stylesheet redirect
Mishandling of locally-saved plain text files
File action dialog tampering
Web browsing history and forward navigation stealing
Directory traversal via chrome: URI
Stored password corruption
Privilege escalation, XSS, Remote Code Execution
Multiple file input focus stealing vulnerabilities
Crashes with evidence of memory corruption
É isso dai que temos de novo no FX 2.0.0.12.
Mas, claro, na sua empresa iriam considerar um software novo, e, iriam homologar de novo, apenas pela "tapação" de buracos com durepox.
Aliás, a própria numeração da versão torna isso que você insinuou uma afirmação sem sentido. Seria legal ver as empresas re-homologando softwares diariamente, várias vezes ao dia, só porque o autor corrigiu um acento agudo faltante.
Petição para que a Microsoft deixe de fabricar o Windows
Fabio's BSOD Generator
Se a correção é do Explorer, vocês dizem "remendo com diversas correções de bugs horrorosos de segurança, criando mais não sei quantos".
Se a correção é do Firefox, vocês dizem "aprimoramentos de segurança"
Legal.
Eu não disse nada.
E para algumas empresas sim, é um outro software,
eles tem que re-homologar para ter certeza que o software (atualização) é livre de spywares e etc.
No caso do FF, ler os novos códigos que alteram todo o sistema de forma direta ou indireta.
-----------
Existem empresas que se blindam com um firewall e deixa o Windows desatualizado, bem como o Internet Explorer e outras coisas por causa da quantidade de atualizações.
Isso ocorre também com o Linux, no caso o Ubuntu, Debian, etc. Mas as atualizações são naturais de sistemas amplamente difundidos, logo se encontram problemas relativos ao funcionamento e segurança.
-----------
Quanto ao Internet Explorer ser bugado, é consenso de todos os desenvolvedores WEB do planeta.
O 7 melhorou um pouco. Talvez o 8 resolva todos os problemas que tenho e outras pessoas tem ao desenvolver para o Internet Explorer.
Mentira?
Como posso navegar com algo que mal consegue ser compatível com HTML ou CSS decentemente? Como pode ser seguro?
É isso que fico me perguntando.
Se for pensar em segurança fique atento a este tipo de aviso de segurança, quando houver utilize outro navegador e volte a usar este quando a mesma for corrigida.
Nem questiono suas demais opiniões.
Só acho absoluta forçação de barra dizer que uma atualização de "0.0.11" pra "0.0.12" seja "outro software" e necessite de uma nova homologação.
E o IE tá longe de ser um demônio em XHTML e CSS. E o que falta dá pra resolver sem muitos problemas. Claro que depende do desenvolvedor.
Petição para que a Microsoft deixe de fabricar o Windows
Fabio's BSOD Generator
Pode não ser o demônio, mas sua interpretação de XHTML e CSS está próxima as impressionantes pérolas de vestibular.
Se você se refere ao IE7, tudo bem, porque o IE6 é um pesadelo.
Megalopolis
Pasta do Firefox que é possível acessar com esse bug é a C:\Program Files\Mozilla Firefox ou a C:\Users\usuário\AppData\Local\Mozilla\Firefox\Profiles\seuperfil?
Se for a primeira, a falha só dá acesso aos binários do Firefox, ou seja, nada tão perigoso assim.
---
Off: Cardoso, o Vista OEM que você comprou foi só ele ou veio com algum hardware essencial ao funcionamento do computador como um cooler ou cado de HD?
E isso é bug ou feature? As extensões não podem precisar dos arquivos padrões do Firefox para algumas atividades?
No Slashdot.org já deixaram bem claro que o post original tinha um título no mínimo "inacurado".
Será q o Cardoso vai fazer alguma correção aqui?
olival.junior
Curioso. www.slashdot.org continua com o mesmo título: "Serious Vulnerability In Firefox 2.0.0.12"
Ok. FALHA MINHA. O correto seria "vários comentários diziam para corrigir o título".
É só contar.
olival.junior
Cooler.
Na verdade, parece que é ALARME FALSO:
Há dois comentários (moderados como Informative) que basicamente dizem que este comportamento já existia em outras versões do Firefox e permite apenas ler os arquivos padrões do firefox, mas NÃO dá acesso a cookies ou senhas.
Reproduzindo abaixo:
Doesn't look like a vulerability to me. So it can read files in /usr/lib/firefox, but those are just the standard files from the firefox package. User configuration and stored passwords etc are not stored there... It still can't get to $HOME/.mozilla...
E mais adiante:
Indeed,
From TFA: "We can trick Firefox itself in traversing directories back".
but then it says:
"we are able to read out all preferences set in Firefox, or just open or include about every file stored in the Mozilla program files directory"
Since TFA is not clear, I have tried it myself and I WAS NOT ABLE TO TRAVERSE a directory back with resource:///../
So the only files someone can read with this vuln are the files inside firefox directory which from what I can see are just default files and no cookies or passwords.
Detalhe: ninguém contradisse as afirmações acima. Pelo menos até o momento em que eu li as mensagens completas.
Então, será que é realmente uma vulnerabilidade ou apenas um carinha querendo gerar tráfego?
[ ]s,
olival.junior
um carinha querendo gerar tráfego[1]
Desculpe, mas eu confio na fonte, não nos fanboys comentaristas como você tentando tampar o sol com a peneira.
Os comentaristas do Slashdot não são famosos por sua objetividade, sabe?
Um bom exemplo é você MESMO, induzindo os leitores a acharem que o Slashdot corrigiu o artigo, e que eu deveria fazer o mesmo.
NÃO MINTA, é FEIO. Você está usando UM comentário de UM usuário como "prova" de que a notícia é "falsa".
Menos, meu caro, menos.
Ataques Ad-Hominem contra mim não acrescentam muita coisa à discussão. Me chamar de "fanboy comentarista" tem alguma coisa a ver com o assunto?
Q tal rebater os argumentos técnicos que foram apresentados?
Ou a notícia é mais importante q o fato?
Mais detalhes seguem...
E o q isso tem a ver com a questão? O cara apresentou ARGUMENTOS TÉCNICOS! Vc diz que os argumentos dele são falsos?
A audiência do Slashdot.org costuma ter bastante gente realmente técnica e que sabe dizer o que é verdadeiro ou falso. E vc encontra volta e meia alguns nomes interessantes, como o Miguel Icaza ou o Ian Murdock (e eles referenciam esses posts em seus respectivos blogs pra ninguém achar q eram impostores).
Sem falar q vários comentaristas "menores" de lá que eu conheço são commiters de kernel Linux e BSD, entre outros projetos livres.
Vc pode até não gostar deles, mas que têm bagagem para discutir um post eminentemente técnico, eles têm.
Qto a corrigir o artigo, já admiti lá em cima q foi FALHA MINHA. O correto seria dizer q o artigo era controverso em seus comentários. Fui tentar fazer uma piada com a sua fama de ser irredutível nos artigos e errei a mão.
Agora, NÃO foi apenas um "usuário" que apresentou argumentos técnicos que NÃO FORAM DESMENTIDOS.
Que tal voltar lá e contar? Eu só indiquei dois porque me pareciam mais claros na argumentação.
Aliás, desde quando a sua fonte não erra? Seria mais fácil apontar os erros se houvesse um mecanismo de feedback em cada artigo. MAS, não há.
Novamente, é só revidar os meus argumentos TÉCNICOS e pronto. Dou o braço a torcer se vc tiver razão.
BTW, estou acessando isso aqui usando Safari, não Firefox.
[ ]s,
olival.junior
"Ad-Hominem"é um conceito muito utilizado pelos trolls que significa "posso agir da forma mais idiota e obtusa possível, mas se for chamado de idiota ou obtuso eu ganho a discussão, pois o que valem são os fatos, não a forma idiota e obtusa como agi"
Bem, tenho que concordar com o olivaljunior, essa historia está meio mal contada, não consegui reproduzir o problema aqui da maneira que foi exposta lá....
Posso ter errado, também não me importei muito com o caso, não gosto do FireFox mesmo... Mesmo assim parece as muitas vulnerabilidades que aparecem para Windows, que nem sempre são vulnerabilidades...
-----
Para aquele que controla o próprio pensamento, todo o resto se torna simples jogo de crianças...
Gandhi.
Cardoso, fala sério, né?
Eu li o seu post inteiro, chequei o artigo no Slashdot.org (onde sou registrado há muitos anos - com direito a good karma) e descobri diversos pontos de discordância para o alarmismo do título. Convenhamos, está longe de ser uma falha de segurança grave. Aliás, nem dá pra dizer ao certo se é uma "falha de segurança".
O q vc fez ao me chamar de troll, "idiota" e "obtuso" (e usar do seu "poder" de admin p/ me tascar uma insígnia de troll) foi o equivalente adulto a me xingar de "bobo" ou "feio" só por ter discordado de vc. E /ou por ter exposto q a "notícia" q vc reproduziu (vejam só) não era exatamente a mais "acurada" do mundo.
Um bom blog é um diálogo, uma conversa entre o blogger e sua audiência. E dessa conversa é que se extraem coisas interessantes q jamais apareceriam no jornalismo convencional. Embora o Slashdot.org não tenha mexido no título do post, eles têm um sistema de tagging que - no momento deste comentário - indica sobre o artigo: "!serious, mozilla, security, bug, haha".
Preciso dizer q "!serious" = "not serious" e que "haha" significa exatamente o q está escrito? E q essas tags são colocadas justamente pela audiência do Slashdot.org q está registrada há mais de 6 meses? E q o Slashdot.org tem pouco mais de 10 anos de existência, com muitos hackers (no sentido correto) acompanhando, comentando e alimentado as notícias?
Ninguém cobra uma checagem de fatos profissional de um blog pq o sistema de feedback costuma suprir bem essa demanda. Se vc nega o retorno de sua audiência e ainda a hostiliza gratuitamente, então o seu blog se torna um monólogo. E se for pra ler um monólogo é melhor abrir um livro.
Na boa, ser "controverso" gera audiência por um tempo, mas lembre-se q até o Ratinho viu seu IBOPE cair.
[ ]s,
olival.junior
Caro Freetardado;
O sistema de tags do slashdot é alimentado pelos usuários, não pelos editores.
São Freetards como você, que querem tampar o sol com a peneira, que estão gerando essas tags. Isso não quer dizer NADA para a discussão. Me mostre quando o SLASHDOT remover o artigo, como você e seus trollzinhos sugeriram.
Aliás, o br-linux já removeu o artigo dele?
Freetardado é foda!
Quando o Carlos Cardoso reproduzir o bug de segurança vai ser FODA!
Yada... yada... yada...
Sim, o sistema é alimentado pelos usuários com mais de 6 meses de registro. COMO EU DISSE LOGO ACIMA.
Felizmente, a audiência do Slashdot.org é tecnicamente mais habilitada do q os editores de certos sites tupiniquins e reconhecem qdo estão diante de um ALARME FALSO.
Se vc reler o q eu escrevi, o q eu disse foi q *alguns usuários sugeriram q o título do artigo no slashdot.org deveria ser mudado*. Só isso.
De fato, não aconteceu. Mas, até aí, no resto do mundo o assunto tbém já caiu no esquecimento, já q era ALARME FALSO.
Acho q só vc ainda acredita q era uma "falha séria".
Claaaro... E vc ficar me xingando de Freetard acrescenta muuuito ao papo...
Continue assim, Cardoso: NUNCA DEIXE A VERDADE FICAR NO CAMINHO DE UMA BOA CHAMADA DE NOTÍCIA! he he he he he he
Bom, vou encerrar por aqui minha participação neste tópico pq já gerei audiência d+ pra vc esses dias...
[ ]s,
olival.junior
Para saber quem tem razão, basta ver qual é o primeiro que apela para xingamentos e provocações.
Como ele é um cara ocupado e não tem tempo para pesquisar o que você colocou, é muito mais prático simplesmente adicionar um rótulo "freetard" e tentar sair "por cima" da discussão.
Discussão é debate de idéias. Quando alguém começa a apelar para xingamentos e provocações se transforma em uma briga. Nessa hora, os argumentos relevantes não são mais usados.
------------------------------
Campanha Play Ogg
Não saquei, "posso agir da forma mais idiota e obtusa possível, mas se for chamado de idiota ou obtuso eu ganho a discussão, pois o que valem são os fatos, não a forma idiota e obtusa como agi".
E não está certo ?
Até que se invente um detector de idiotas temos que conferir os argumentos para detectar manualmente sinais de inteligencia ou néscio
. Atacar a pessoa e não os argumentos como forma de encerrar a conversa é muito peculiar "Ad-Hominem".
O rapaz está certo Cardoso, não é nada disso que vocês pensam. A falha não é tão grave ou talvez nem seja falha.
http://br-linux.org/2008/firefox-20012-tem-falha-d...
Tão rápido assim? De qualquer forma, sempre usei o NoScript mesmo!
Normal, não me afeta em nada, costumo acessar um seleto grupos de sites que confio... ;D
_____________________
Muita Pimenta para sua vida!
google?
Isto só é mais uma evidência que quanto mais utilizado um software, naturalmente ele se torna alvo de busca por falhas, e é lógico que acabam encontrando.
A desvantagem é que começa a parecer que o software não é muito seguro.
A vantagem é que com as correções constantes fica cada vez mais difícil para os hackers do tipo ctrl+C e ctrl+V se aproveitar dos usuários.
Nesta terça agora sai vários patches para o Windows e IE também.
Isso evidencia que as falhas existem, só isso.
A "busca por falhas" não faz aparecer falhas do além, traz a tona falhas do além, e sim mostra as que não foram enxergadas ainda....
É o mesmo no Windows para Mac ou para Linux. A popularidade de um software não faz com que ele se torne mais ou menos falho, somente faz com que as falhas já existentes apareçam.
-----
Para aquele que controla o próprio pensamento, todo o resto se torna simples jogo de crianças...
Gandhi.
Não disse nada diferente disto, achar falha que não existe é meio impossível né?
Novamente, achar que um navegador é mais seguro pois não aparecem notícias de falhas de segurança é um erro, se o Opera tivesse a popularidade do Firefox acho que teríamos muitas notícias como esta para ele.
Mas tem a questão da gravidade, por estas falhas um número muito grade de usuários é afetada.
É que eu entendi, que você estava falando a velha baboseira espalhado pela net, que um software se torna inseguro quando fica popular....
-----
Para aquele que controla o próprio pensamento, todo o resto se torna simples jogo de crianças...
Gandhi.
Que tal tentar ENTENDER o que foi escrito antes de criticar?
Que tal lagar de se chato, e percebem que as pessoas podem interpretar mal alguma coisa...
Ou você é perfeito??
-----
Para aquele que controla o próprio pensamento, todo o resto se torna simples jogo de crianças...
Gandhi.
"ah se fosse a Microsoft"... Bem, eu não esperaria nada diferente, como não espero de qualquer empresa.
Como eu disse no meu artigo de segurança, o problema não é ter a falha, e sim a velocidade de correção das mesmas.
Bem, ainda não atualizei para o .12, depois atualizo e vou testar ver se ele está liberando o acesso mesmo. Afinal essa é a melhor maneira de saber se a noticia é verdadeira ou não.
-----
Para aquele que controla o próprio pensamento, todo o resto se torna simples jogo de crianças...
Gandhi.
Se aparece uma falha crítica divulgada também aparecem hotfix de emergência para o Windows e IE também.
É uma pena que existam pessoas que só queiram ferrar as outras, é patético, mas como isso nunca vai mudar, devemos seguir em frente e tomar cuidado. Ainda considero o Firefox o browser mais seguro para Windows. Só não uso mais o Safari porque sua versão Windows ainda está com alguns bugs.
Esse bug só foi introduzido no .12? E acharam em menos de um dia?
Fico pensando se a pessoa que fez a descoberta achou isso no código fonte durante o desenvolvimento e só foi revelar depois do lançamento.
Ou pior, se foi ele que introduziu o bug, mesmo com todo o controle de qualidade da Mozilla.