A Mozilla reagiu rapidamente para corrigir uma vulnerabilidade 0-day no Firefox. A falha ficou conhecida na mídia principalmente através de um exploit no site do Prêmio Nobel da Paz na última terça (26/08) e corrigida ontem de manhã (28/08). Apesar do exploit ter sido direcionado a máquinas Windows, a falha permitia que PCs rodando Mac… Read More
Mozilla alerta: exploit 0-day do Firefox sendo usado em ataques
A empresa de segurança Norman anunciou ontem (26/10) ter encontrado uma vulnerabilidade no Firefox que permite que usuários maliciosos instalem um trojan no computador de visitantes de um site comprometido sem qualquer tipo de aviso na tela, de forma automática. Dentre os sites teoricamente comprometidos estaria o site do prêmio do Nobel da Paz. A… Read More
93% dos usuários do Java continuam vulneráveis após 1 semana do lançamento da correção
A Trusteer realizou uma pesquisa cujos dados mostram que apenas 7% dos usuários do Java instalaram a atualização crítica de segurança lançada semana passada com 29 correções. O problema é bem grande levando-se em consideração que 73% dos usuários da internet utilizam Java, o que perfaz 68% de usuários vulneráveis, e que apenas 120 horas… Read More
Vulnerabilidade na GNU Lib C – escalada de privilégio
Foi publicado na Full Disclosure um exploit para vulnerabilidade encontrada na gnulibc que permite a escalada de privilégios em âmbito local, possibilitando que usuários com acesso ao sistema possam virar root. O Fedora Core 13, o RHEL5 e o CENTOS5 são afetados, ainda não temos detalhes sobre outras distribuições. Alguns métodos de mitigação também já… Read More
Microsoft afirma que uma “onda sem precedentes” de ataques usando exploits do Java atingiram seus usuários
A Microsoft afirmou nessa segunda-feira (18/10) que uma onda de ataques “sem precedentes” estão explorando falhas no Java da empresa Oracle. Segundo Holly Stewart, gerente do Centro de Proteção a Malwares da Microsoft, “tivemos um pico na quantidade de exploits que é surpreendente, no mínimo”: nos últimos 9 meses, a quantidade de ataques pulou de… Read More
Usuários do Internet Explorer são os que mais sofrem risco de ataque de injeção DLL
Usuários do Internet Explorer da Microsoft são mais vulneráveis a ataques de injeção de DLL do que pessoas usando browsers rivais como o Mozilla Firefox e o Google Chrome, afirma o pesquisador de segurança Mitja Kolsek, da empresa de segurança eslovena Acros Security. Segundo ele, enquanto executados no Windows XP, o Internet Explorer 6, 7… Read More
Microsoft publica correção da vulnerabilidade crítica de vazamento de dados no ASP.NET
Ontem (28/09), treze dias após divulgada e oito dias após confirmada saiu a correção da vulnerabilidade de vazamento de dados no ASP.NET. A Microsoft declarou que já estão sendo registrados exploits dessa vulnerabilidade, então se você administra um servidor que rode aplicações .NET atualize o mais rápido possível. Usuários de serviços de hospedagem que utilizem… Read More
Vulnerabilidade no kernel Linux 64-bit permite escalada de privilégios
O hacker Ac1dB1tch3z liberou um exploit atingindo vulnerabilidade no kernel Linux x86_64 que permite escalada de privilégios no servidor (isto é, um usuário com permissões limitadas ter permissão root). Segundo o hacker, a vulnerabilidade estava presente há mais 2 anos, mas só agora foi descoberta. A Ksplice lançou uma ferramenta para verificar se o seu… Read More
Microsoft confirma falha de segurança de vazamento de dados no ASP.Net
A Microsoft lançou um relatório de segurança confirmando a vulnerabilidade de vazamento de dados no ASP.Net, conforme mencionamos na última quarta-feira. O relatório diz que ainda não há notícias de ataques usando esta técnica, embora já tenha sido liberada uma ferramenta para automaticamente encontrar e explorar a falha. O relatório contém ainda uma série de… Read More
Falhas no sistema de criptografia do framework ASP.Net deixam aplicações bancárias abertas para ataque
Pesquisadores do netifera research desenvolveram uma ferramenta que explora uma falha no sistema de criptografia AES do framework ASP.Net, da Microsoft. A falha no servidor permite que se descriptografe cookies interceptados ou forge tickets de autenticação. A ferramenta se chama Padding Oracle Exploit Tool, demonstra a possibilidade do ataque. O pesquisador Juliano Rizzo afirma: “De… Read More