Blog SegInfo - Segurança da Informação - Tecnologia - Notícias, Artigos e Novidades » mozilla

Firefox será atualizado na próxima terça-feira com correção de bugs CSRF e do Flash

Arlindo Pereira — Fri, 25 Feb 2011 12:00:30 +0000

O Mozilla Firefox terá uma atualização de segurança na próxima terça-feira (01/03) corrigindo duas falhas, sendo uma explorada através de um arquivo Flash malicioso, e a outra uma vulnerabilidade cross-site request forgery (CSRF). Serão atualizados as versões 3.5.X para 3.5.17 e 3.6.X para 3.6.14. Veja mais detalhes em Firefox/Planning/2011-02-23 – MozillaWiki.

Via Update: Firefox update will patch CSRF bug, Mozilla says – Computerworld.

Posts Relacionados

Evento Just 4 Meeting

BlackHole RAT - Novo trojan para Mac OS X

Phishing em videogame

Ataques de aplicações contra o Apple iOS

Mozilla Firefox trará Do No Track, opção para aumentar a privacidade do usuário

Arlindo Pereira — Tue, 25 Jan 2011 18:55:24 +0000

A Mozilla está planejando para as próximas versões do Firefox uma funcionalidade chamada Do No Track (“não me rastreie”), que tem o objetivo de pedir para os servidores web que não registrem seus passos através de anúncios de terceiros. A ideia é que, após marcar um checkbox “Do Not Track HTTP header”, o Firefox envie um cabeçalho HTTP “do not track” para os servidores, que devem implementar a funcionalidade. Dessa maneira, o navegador não bloquearia todos os anúncios, somente aqueles que seriam nocivos à privacidade dos usuários. Veja mais detalhes em More Choice and Control Over Online Tracking « First Person Cookie (via)

Posts Relacionados

Mariano Sumrell Miranda

Microsoft planeja backport de ferramenta de segurança do Office 2010 para as versões 2007 e 2003

Lançamento do Wine 1.2

Nova brecha de dados privativos no Facebook

Adobe introduz recurso no Flash Player para prevenir rastreamento do usuário, aumentando a privacidade

Arlindo Pereira — Fri, 14 Jan 2011 11:20:01 +0000

A Adobe introduziu na última versão do Flash Player um recurso para prevenir o rastreamento do usuário, aumentando a sua privacidade. O novo recurso, trabalhado em conjunto com 2 fabricantes de browser (Mozilla e Google), permite gerenciar os Local Shared Objects (LSO) através do próprio navegador. Os LSOs são objetos gerenciados pelo Flash, e podem ser usados por diversos propósitos; no caso mais relevante para segurança da informação, eles são usados como cookies.

A colaboração entre a Adobe e a Mozilla e o Google resultou na criação de uma API para limpar dados locais, que poderá ser utilizada por qualquer plugin que a implemente. Sendo assim, na nova versão do Flash, ao limpar os cookies no Firefox e no Chrome, os LSOs do Flash também serão excluídos, o que evita que sites façam rastreamento de visitantes indefinidamente.

Veja mais detalhes em Adobe changes Flash Player feature to prevent user tracking.

Posts Relacionados

Mozilla expande programa de recompensas para falhas encontradas em sites da organização

Companhias compatíveis com PCI DSS sofrem menos violações de dados.

Ataques de phishing através de anexos HTML enganam segurança de navegadores

Bug no Yahoo Messenger permite violações nas mensagens de status dos usuários

Pesquisador anuncia vulnerabilidade que atinge todos os browsers e especialmente o IE8

Arlindo Pereira — Fri, 07 Jan 2011 11:26:42 +0000

O pesquisador de segurança Michal Zalewski anunciou uma ferramenta chamada cross_fuzz – um “DOM binding fuzzer” que explora uma vulnerabilidade que, segundo ele, está “presente em todos os browsers do mercado”. A ferramenta faz o navegador travar, podendo ser utilizada por usuários maliciosos para causar uma condição de negação de serviço (DoS). Michal acredita ainda que outros pesquisadores podem ter descoberto a técnica independentemente e estarem utilizando-a como um 0-day.

Todos os browsers são afetados (Internet Explorer, Mozilla Firefox, browsers WebKit (Chrome, Safari e afins) e Opera). Especificamente no caso do Internet Explorer 8, existe a suspeita de que a técnica esteja sendo usada também para disparar a execução de código arbitrário. Veja mais informações sobre o cross_fuzz em lcamtuf’s blog: Announcing cross_fuz, a potential 0-day in circulation, and more e sobre a vulnerabilidade do Internet Explorer em US-CERT Vulnerability Note VU#427980.

Posts Relacionados

Fraudadores tomam empréstimos em nome de Lula; PF investiga usuário maliciosos

Anatomia de um exploit PDF no Adobe Reader

Vulnerabilidade no Ubuntu Linux

Falhas no sistema de criptografia do framework ASP.Net deixam aplicações bancárias abertas para ataque

Mozilla sofre vazamento de dados de usuários do addons.mozilla.org

Arlindo Pereira — Tue, 28 Dec 2010 14:14:34 +0000

No dia 17 de dezembro a Mozilla foi notificada por um pesquisador de segurança que o banco de dados de usuários do addons.mozilla.org havia sido parcialmente publicado num servidor público. O banco de dados incluía 44.000 contas inativas usando hashes MD5 das senhas. A Mozilla afirma que apagou as senhas MD5, desabilitando as contas, e que utiliza hashes de SHA-512 com salts por usuário desde 9 de abril de 2009. Veja mais detalhes sobre o caso em addons.mozilla.org disclosure at Mozilla Security Blog.

Posts Relacionados

Snort.org retoma série de webcasts sobre Snort

CERT Basic Fuzzing Framework

Hacker cria extensão prova de conceito que captura dados de usuário e senha no Google Chrome

Disponível o vídeo do 3º webinar gratuito da @ClavisSecurity - " Principais Ameaças a Aplicações Web - Top 10 do OWASP"

Mozilla expande programa de recompensas para falhas encontradas em sites da organização

Arlindo Pereira — Thu, 16 Dec 2010 10:56:43 +0000

A Mozilla, assim como a Google, possui um programa de recompensas para pesquisadores de segurança que descobrem vulnerabilidades nos seus navegadores. Ontem (15/12) a Mozilla anunciou que está expandindo o programa de recompensas – com valores individuais variando entre 500 e 3.000 dólares – para vulnerabilidades encontradas nos sites da organização, como o bugzilla.mozilla.org e o addons.mozilla.org. Com isso, a Mozilla espera localizar e solucionar eventuais falhas de cross-site scripting (XSS) e cross-site request forgery (XSRF) em seus sites. Veja mais detalhes em Mozilla Web Application Security Bug Bounty FAQ.

Posts Relacionados

Google adiciona notificações de URL Phishing e notificações XML ao serviço Safe Browsing Alerts

Port Knocking da próxima geração com o FWKnop - protegendo serviços de maneira passiva

Aumentando a segurança com os níveis de integridade do Windows

Microsoft divulga o Enhanced Mitigation Experience Toolkit(EMET), ferramenta gratuita para prevenção de vulnerabilidades

Mozilla Firefox 3.6.13 corrige 11 vulnerabilides

Arlindo Pereira — Fri, 10 Dec 2010 10:39:49 +0000

A Mozilla lançou ontem (09/12) o Firefox 3.6.13, corrigindo 11 vulnerabilidades, sendo 9 delas “críticas” – permitiam que atacantes executassem código malicioso e instalassem software. A atualização também traz melhoras quanto a estabilidade do navegador. Veja a lista completa de mudanças.

Via: Mozilla Firefox 3.6 Release Notes.

Posts Relacionados

Usuários maliciosos lançam nova versão do Zeus

Pesquisas no Google agora com SSL

Atualizações e alertas importantes de segurança nos dispositivos Cisco IOS

Vulnerabilidade no access point Linksys WAP610N: console root sem autenticação

Extensão de Firefox HTTPS Everywhere atualizada para combater captura de senhas com o Firesheep

Arlindo Pereira — Wed, 24 Nov 2010 11:07:27 +0000

A equipe da Electronic Frontier Foundation atualizou o HTTPS Everywhere para a versão 0.9.0. O HTTPS Everywhere é um plugin para o Mozilla Firefox que força a utilização de protocolos de segurança na navegação dos sites, fazendo com que a transmissão de cookies seja feita de forma segura. Segundo Chris Palmer, diretor de tecnologia da EFF, “Forçando a transmissão dos cookies de forma segura, o HTTPS Everywhere traz proteção contra o Firesheep que os sites deveriam mas falharam em oferecer”. Leia mais em Browser add-on updated to slaughter Firesheep • The Register.

Posts Relacionados

Google corrige 30 bugs do navegador Chrome e adiciona 'Instant Pages'

Cisco divulga 6 alertas de vulnerabilidades

Palestra sobre teste e validação de conteúdo em Flash

Atualização: NessusDB v1.4.2

Lançado Blacksheep, extensão de Firefox que detecta o uso do Firesheep

Editor — Mon, 08 Nov 2010 15:22:09 +0000

A empresa de segurança Zscaler lançou na última Toorcon o Blacksheep, uma extensão para Firefox que detecta se algum usuário da rede a qual você está conectado está usando o Firesheep, extensão de Firefox que permite a captura de sessões com poucos cliques. Leia mais sobre o lançamento da extensão em Zscaler Cloud Security : SaaS Web Security, Web Security, URL Filtering, Internet Security.

Foto: Eavesdropping.

Posts Relacionados

Levantamento do TCU aponta falhas na segurança de 65% dos órgãos federais

ClubHACK Magazine

Criptografia do Skype é (parcialmente) quebrada

Ferramenta brasileira t50 no próximo release do BackTrack

Mozilla corrige rapidamente correção para falha no Firefox com a versão 3.6.12

Editor — Fri, 29 Oct 2010 09:20:53 +0000

A Mozilla reagiu rapidamente para corrigir uma vulnerabilidade 0-day no Firefox. A falha ficou conhecida na mídia principalmente através de um exploit no site do Prêmio Nobel da Paz na última terça (26/08) e corrigida ontem de manhã (28/08). Apesar do exploit ter sido direcionado a máquinas Windows, a falha permitia que PCs rodando Mac OS e Linux também fossem afetados, portanto a atualização de segurança também se estende a estes sabores do Firefox. Leia mais detalhes sobre a vulnerabilidade e a atualização em Mozilla quickly patches Firefox flaw • The Register.

Posts Relacionados

No Windows - Explicando o funcionamento de vulnerabilidades de DLL hijacking

Trojan ZeuS ataca autenticação bancária em 2 passos para celulares

Hackers criam avião automático para capturar dados de redes sem-fio

Falha nos servidores da Microsoft permite baixar aplicativos do Windows Phone 7 gratuitamente