Um estudo feito pela McAfee revelou que, no segundo trimestre de 2011, a plataforma Android passou da terceira posição como plataforma com mais exploits de segurança para a primeira posição. O Android possui até agora cerca de 44 malwares conhecidos; em segundo lugar vem a plataforma Java ME, com cerca de 14 malwares encontrados. Leia mais
Adiantando uma atualização agendada para o dia 12, a Adobe corrigiu ontem 23 falhas de segurança que foram encontradas desde a última versão do Adobe Reader, seu leitor de arquivos PDF. A liberação do patch mais cedo ocorreu devido a uma vulnerabilidade presente no leitor que causava estouro de memória e já estava sendo utilizada por programadores maliciosos desde que foi descoberta. Uma atualização também foi liberada para o Adobe Acrobat. | TheRegister
Uma falha de segurança afetou milhões de usuários do Twitter na manhã dessa terça-feira. Você estava dormindo e não viu o acontecido? Pois bem: ao passar o cursor do mouse sobre links maliciosos que se espalharam pela timeline, o usuário automaticamente reproduzia esse tweet no seu próprio perfil na rede social, sem qualquer aviso de que isso ia acontecer.
O Twitter investigou a situação e publicou em seu blog corporativo uma explicação para o problema.
O especialista britânico em SEO David Naylor, enviou ontem uma dica ao blog Mashable detalhando uma possível falha de segurança no Twitter. Ben Parr, um dos editores do site, pediu uma prova e logo recebeu. Ao acessar o perfil @apifail criado por David, ele recebeu uma janela de aviso com a mensagem “Você deveria agradecer por eu não ter roubado seu cookie de login”.
Segundo o especialista em seu blog, a falha de segurança está no campo da API que permite que programadores insiram a URL do aplicativo ou site. Esse é o campo que identifica de onde o update dos usuários do serviço foi feito, como por exemplo “from Twhril” ou “from Twittie”. David diz que o Twitter não verifica o que é inserido no campo e por isso ele poderia apontar para um script malicioso qualquer que, por exemplo, roubasse as informações da conta do usuário.
Depois da divulgação da falha, John Adams, da equipe de operações do Twitter, publicou um comentário no blog de David avisando que já havia corrigido o problema. Hoje, no entanto, David criou outro perfil no serviço de microblogging para testar mais uma vez a mesma falha e percebeu que o exploit continua no ar. A imagem abaixo mostra o que acontece ao acessar o perfil @apifail2 e o código-fonte do script usado.
O script é inofensivo. (Clique para ampliar)
Ainda não há previsão de quando a falha será corrigida de vez. [TechCrunch]
Blogueiros que usam o WordPress já devem estar acostumados com a constante atualização da ferramenta. Seja para adicionar alguma nova funcionalidade ou apenas para deixar o CMS mais rápido, os desenvolvedores da Automattic estão sempre trabalhando. É provável que na tarde de ontem alguns desses programadores precisaram fazer hora extra.
Normalmente, para que a senha seja resetada, é necessário inserir o email registrado no perfil de algum administrador ou o login usado por ele. No entanto, foi descoberta ontem no código da versão 2.8.3 do WordPress uma falha permite que qualquer pessoa troque a senha, mesmo sem saber o email ou login de administradores do blog. A ação pode ser realizada a partir de qualquer navegador web, através da manipulação da URL do site atacado.
Mobilon, CEO do Tecnoblog: 5 tentativas de reset de senha.
O CEO desse Tecnoblog, Thiago Mobilon, foi um dos que sofreram esse ataque. Foram feitas 5 tentativas de reset na senha de administrador, todas frustradas porque a senha era enviada para o email cadastrado. Obviamente, esse ataque não é muito útil, servindo apenas para perturbar donos de instalações desatualizadas do sistema. A menos que o email do administrador não esteja mais ativo.
A versão 2.8.4 foi liberada por volta de 5 horas após a revelação do bug e está disponível para download no site ou através da atualização automática no dashboard do WordPress. [Slashdot]
Menos de três dias após a liberação da versão 3.5.1 do Firefox (que corrigia de falhas de segurança envolvendo o motor de JavaScript), o browser já possui uma nova brecha comprovada.
A falha atinge o método document.write, que após receber uma string Unicode muito longa, causa um estouro da pilha de memória (buffer overflow). Isso possibilita a execução de código remoto, abrindo espaço para um ataque DOS (Denial Of Service).
A Mozilla, desenvolvedora do browser, respondeu à noticia informando que apesar da falha realmente existir, técnicas de segurança presentes nas ultimas versões do browser não permitem a mesma seja explorada. Entretanto, já foi tornada pública uma prova de conceito, e sites de segurança como SANS Internet Storm Center e IBM ISS X-Force já confirmaram a falha.
E não para por aí. Com esta falha, desabilitar manualmente a execução de JavaScript pelo browser NÃO é suficiente para evitar a execução de código pelo atacante. Até o momento, não foi liberada nenhuma correção para o problema. A recomendação, assim como das outras vezes, é não visitar sites que não sejam confiáveis até que o problema seja resolvido. [DownloadTube]
Já estava nos planos da Microsoft o lançamento de um patch de segurança para o Office com correções de vulnerabilidades divulgadas há mais de um ano. Mas antes que a atualização fosse disponibilizada, a empresa de Redmond já tem mais um buraco para tapar.
Uma vulnerabilidade, classificada como crítitica pela empresa de anti-malware Sophos, foi encontrada em um ActiveX que faz parte dos Componentes Web do Microsoft Office 10 e 11, e já está sendo usada em ataques online e pode já ter se tornado parte de um Exploit Kit. As informações são de Vanja Svajcer em um artigo para o blog Sophos Lab.
Curiosamente, ambas as versões não possuem a vulnerabilidade em sua instalação padrão. Entretanto, aqueles que possuírem instalados os seguintes produtos listados abaixo estarão vulneráveis. São eles:
O ActiveX integrante dos Components Web do Office permite a visualização de planilhas, além de banco de dados e tabelas, diretamente da internet. Com o exploit, se o usuário acessar o site malicioso utilizando o Internet Explorer, o atacante pode ganhar todos os direitos do usuário e executar códigos maliciosos livremente.
A recomendação para aqueles que possuem seu sistema vulnerável é que faça a atualização assim que esta estiver disponível. Enquanto isso evite visitar sites desconhecidos ou escolha um browser melhor. [BetaNews]
Muahahaha
Charlie Miller, pesquisador de segurança, e Vincenzo Iozzo, estudante da Universidade de Milão descobriram recentemente um método para forçar a execução de código não assinado pelo processador do iPhone.
Apesar do sucesso do aparelho, atualmente existem poucos exploits para o iPhone, uma vez que o sistema de segurança do aparelho previne a execução de código arbitrário. A técnica se torna pouco atrativa e de praticamente nenhuma utilidade. Entretanto, se unidos à técnica descoberta pela dupla, torna-se virtualmente possível a execução de qualquer operação no dispositivo.
A dupla prentende revelar sua técnica exibindo o trabalho na Black Hat Security Conference, Conferência de Segurança Hacker que acontece em Las Vegas no próximo mês. [Ars Technica]
| 
| 
|
|
|
|
|
|
|
|  | Comprar música no Brasil por Rafael |
 | Domínios e subdomínios (blogger e wordpress) por markuzspeed |
| Similares ao mercado livre por Rafael |
 | (Wanted) Webmaster wordpress por thiagoandre |
| Vou comprar outro smartphone, preciso de sugestões por Rafael |
Assine pelo iTunes
Assine pelo Feed