Microsoft programa para junho atualização para conter “abuso” do IE8

FRAMINGHAM (04/20/2010) – A Microsoft planeja atualizar o Internet Explorer 8 (IE8) em Junho para impedir ataques que poderiam voltar o filtro de “cross site scripting” (XSS) do navegador contra sites na web, disse ontem a equipe de segurança da empresa.

A decisão foi motivada por uma apresentação na semana passada durante a conferência Black Hat Europe, onde os pesquisadores Eduardo Vela Nava e David Lindsay mostraram como o filtro XSS — um recurso anti-malware que foi lançado em um beta do navegador no ano passado — poderia ser usado por hackers para lançar ataques contra sites que normalmente seriam imunes. Entre as vítimas em potencial estão o sistema de busca Bing, da própria Microsoft, Digg, Google, Twitter, Wikipedia e “muitos, muitos mais”, dizem eles.

O IE8 usa uma técnica batizada por Vela Nava e Lindsey de “neutralização” para impedir ataques XSS. O problema é que agressores podem manipular o mecanismo e utilizá-lo para seus próprios fins. “Um agressor pode explorar este comportamento para impedir que um recurso de segurança no lado do cliente funcione”, disse a dupla em um paper publicado em conjunto com sua apresentação no Black Hat. “E em certos casos isto pode levar a ataques XSS que de outra forma não poderiam ser possíveis”.

Embora a Microsoft já tenha lidado com alguns dos cenários de ataque detalhados por Vela Nava e Lindsay em um par de atualizações do IE lançadas anteriormente — as atualizações de emergência MS10-002 e MS10-018 de janeiro e março — a empresa disse ontem que irá lançar uma atualização para o filtro de XSS para bloquear outro possível vetor de ataque.

“Esta mudança vai é relacionada a um cenário de ataque à tag SCRIPT descrito na apresentação da BlackHat Europe”, disse David Ross, um engenheiro do Microsoft Security Responde Center (MSRC), em uma mensagem no blog do grupo. “Este problema se manifesta quando um script malicioso consegue “se livrar” de uma estrutura que já está dentro de um bloco de script existente”.

Em contraste às atualizações de segurança, os filtros de cross-site scripting do IE são atualizados em segundo plano enquanto o navegador está em uso. Entretanto, a Microsoft agendou esta atualização para junho, em vez de imediatamente, para dar à empresa tempo suficiente para testar as modificações, disse um porta-voz da companhia.

Outros navegadores, incluindo o Google Chrome, também tem filtros de XSS. Mas de acordo com Lindsay, usuários do Chrome não correm risco de ser vítimas de abuso.

“A técnica de neutralização do Chrome consiste em bloquear completamente a página”, disse Lindsay em uma mensagem direta via Twitter. “Este é o método preferiso em vez de modificar a resposta”, como faz o navegador da Microsoft.

Coincidentemente, hoje o Google corrigiu sete vulnerabilidades de segurança na versão “estável” para Windows de seu navegador, incluindo duas relacionadas a cross-site scripting.

Fonte: PCWorld

Anúncios

Deixe um comentário

Ainda sem comentários.

Comments RSS TrackBack Identifier URI

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s