Falhas encontradas mutuamente nos navegadores Internet Explorer, da Microsoft, e Firefox, da fundação Mozilla, permitem que hackers ganhem acesso a conteúdo confidencial do computador de uma vítima através da interação com uma página web.
A vulnerabilidade que atinge tanto usuários de Windows quanto de sistemas Unix, se baseia no fato de que os navegadores possuem funcionalidades que permitem envio de arquivos a servidores remotos.
Bastaria que a vítima visitasse um site com uma "armadilha" e inserisse um pequeno trecho de texto, como um comentário em um artigo, por exemplo, para que um arquivo fosse obtido. Petko D. Petkov, especialista em segurança que ajudou na investigação da vulnerabilidade, afirmou que a técnica pode ser utilizada para revelar dados confidenciais do gerenciamento de contas do Windows ou ainda do diretório /etc/passwd do Unix.
Michal Zalewski, que descobriu a falha no navegador da fundação Mozilla, afirma que a vulnerabilidade é uma variante de uma falha notificada ao Bugzilla (programa de investigação e resolução de falhas dos softwares da fundação) em 2000, e atinge as versões 2.0 e 1.5 do programa. A falha no IE, no entanto, foi comprovada na versão 6 e 7 do navegador.
Duas demonstrações do problema, uma para IE e outra para Firefox estão disponíveis na web e mostram como digitar uma simples mensagem em um campo de texto de um formulário poderia revelar o arquivo boot.ini. A Microsoft disse estar investigando a vulnerabilidade em seu software.
A vulnerabilidade que atinge tanto usuários de Windows quanto de sistemas Unix, se baseia no fato de que os navegadores possuem funcionalidades que permitem envio de arquivos a servidores remotos.
Bastaria que a vítima visitasse um site com uma "armadilha" e inserisse um pequeno trecho de texto, como um comentário em um artigo, por exemplo, para que um arquivo fosse obtido. Petko D. Petkov, especialista em segurança que ajudou na investigação da vulnerabilidade, afirmou que a técnica pode ser utilizada para revelar dados confidenciais do gerenciamento de contas do Windows ou ainda do diretório /etc/passwd do Unix.
Michal Zalewski, que descobriu a falha no navegador da fundação Mozilla, afirma que a vulnerabilidade é uma variante de uma falha notificada ao Bugzilla (programa de investigação e resolução de falhas dos softwares da fundação) em 2000, e atinge as versões 2.0 e 1.5 do programa. A falha no IE, no entanto, foi comprovada na versão 6 e 7 do navegador.
Duas demonstrações do problema, uma para IE e outra para Firefox estão disponíveis na web e mostram como digitar uma simples mensagem em um campo de texto de um formulário poderia revelar o arquivo boot.ini. A Microsoft disse estar investigando a vulnerabilidade em seu software.
Fonte: Revista Geek
Nenhum comentário:
Postar um comentário