A Mozilla foi informada sobre a emissão de vários certificados SSL falsos para sites públicos. Os certificados foram revogados pela autoridade de certificação (CA), o que deve proteger a maioria dos usuários. Apesar de não ser um problema específico do Firefox, a Mozilla optou por atualizar o Firefox 4.0, 3.6, e 3.5 para reconhecer esses certificados fraudulentos e bloqueá-los automaticamente.

Usuários em uma rede comprometida poderiam ser direcionados a sites que utilizam os certificados fraudulentos e confundi-los como sendo sites legítimos. Isso pode fazer com que os usuários revelem informações pessoais, como nomes de usuário e senhas, acreditando que o site é legítimo. Os certificados também pode ser usados para enganar usuários para baixar malwares, tendo em vista que eles podem acreditar que está vindo de um site confiável.

As versões atuais do Firefox já estão protegidos deste ataque. A Mozilla recomenda que todos os usuários mantenham seus softwares atualizados.

Esse problema foi relatado para a Mozilla pelo Comodo Group, Inc., a autoridade certificadora responsável pela emissão dos certificados fraudulentos.

Via: Firefox Blocking Fraudulent Certificates

Usuários do Firefox não precisam fazer nada para receber a proteção. Ela é nativa do Firefox 4 e está ativa por padrão, tornando o navegador mais seguro.

A Mozilla preparou um artigo específico para guiar os desenvolvedores web na implantação do CSP, que pode ser acessado através do Mozilla Developer Center.

É esperada uma adoção em massa do CSP. Sites populares como o Twitter já estão utilizando, além de já existirem plugins para os CMS WordPress e Drupal, além do framework web Django.

No artigo do Mozilla Developer Center alguns detalhes técnicos são esclarecidos, como o foco do mecanismo de evitar três tipos de ataque: cross site scripting (XSS), clickjacking e packet sniffing (interceptação de pacotes).

O CSP faz parte do motor Gecko 2 e está disponível também para o Thunderbird 3.3 e o SeaMonkey 2.1.

Via: Creating a Safer Web with Content Security Policy

E como obter essa informação de maneira simples? A resposta é Flagfox – uma extensão simples para o Firefox que apresenta uma notificação não-intrusiva na barra de endereços indicando, através de sua bandeira, em que país o site atual está localizado. Clicando na bandeira, uma nova aba será aberta com informações geográficas detalhadas sobre o servidor em questão.

Para melhorar, o Flagfox conta com outras funcionalidades. Clicando com o botão direito na bandeira, você tem acesso rápido a diversos serviços, como: WhoIs, Alexa e SiteAdvisor, que podem ajudar a identificar se o site se trata realmente de uma fraude.

O Flagfox é constantemente atualizado e está disponível para o Firefox 3.6 ou superior, diretamente no site de add-ons da Mozilla.

Via: Free Internet Security Tools, Lightweight PDF Reader

Via Update: Firefox update will patch CSRF bug, Mozilla says – Computerworld.

A colaboração entre a Adobe e a Mozilla e o Google resultou na criação de uma API para limpar dados locais, que poderá ser utilizada por qualquer plugin que a implemente. Sendo assim, na nova versão do Flash, ao limpar os cookies no Firefox e no Chrome, os LSOs do Flash também serão excluídos, o que evita que sites façam rastreamento de visitantes indefinidamente.

Veja mais detalhes em Adobe changes Flash Player feature to prevent user tracking.

Todos os browsers são afetados (Internet Explorer, Mozilla Firefox, browsers WebKit (Chrome, Safari e afins) e Opera). Especificamente no caso do Internet Explorer 8, existe a suspeita de que a técnica esteja sendo usada também para disparar a execução de código arbitrário. Veja mais informações sobre o cross_fuzz em lcamtuf’s blog: Announcing cross_fuz, a potential 0-day in circulation, and more e sobre a vulnerabilidade do Internet Explorer em US-CERT Vulnerability Note VU#427980.

Dica do blog Coruja de TI (via).

Via: Mozilla Firefox 3.6 Release Notes.