Home > Notícias

Novo código explora antiga falha no Firefox

A falha foi corrigida na versão 1.0.5 do browser, lançada em julho passado, e também foi atualizada na versão 1.7.9 da Mozilla Suite

IDG Now!

13/12/2005 às 16h03

Foto:

Usuários que ainda não tenham migrado para a última versão do navegador Mozilla Firefox agora têm mais uma boa razão, graças a um hacker conhecido como Aviv Raff.

Neste domingo (11/12), Raff publicou um modelo de código (veja aqui) que pode ser usado para assumir o controle de PCs que utilizam a versão 1.0.4 do browser ou anteriores.

O código se aproveita de um bug bastante conhecido (saiba mais) na forma que o Firefox processa a popular linguagem de programação para web Javascript. "Acho que já houve tempo suficiente para as pessoas atualizarem a versão 1.0.4 do Firefox. Então, aqui vai a prova de conceito de como explorar a vulnerabilidade", escreveu o hacker no seu blog.

A falha foi corrigida na versão 1.0.5 do browser, lançada em julho passado, e também foi atualizada na versão 1.7.9 da Mozilla Suite, segundo Mike Schroepfer, vice-presidente de engenharia da Mozilla. "Desde que os usuários mantenham seus PCs atualizados, em geral, estão bastante seguros", declarou o executivo.

Em alguns aspectos, este novo código é bastante similar a uma forma de ataque amplamente divulgada para o Microsoft Internet Explorer, disse Russ Cooper, editor da lista de notícias NTBugtraq e cientista da empresa de segurança Cybertrust. "Ele permite instalar e rodar o código que o hacker escolher se a vítima visita o site com código malicioso", disse o especialista.

Segundo Cooper, usuários que não têm o hábito de atualizar seus navegadores com freqüência devem mudar de postura, já que os browsers estão "historicamente comprometidos". "Isto quer dizer que as vulnerabilidades são regulares", acrescenta Cooper, recomendadndo o usuário a atualizar o browser a cada 30 dias, independente do tipo de patch lançado.

O código que tira vantagem de falha no IE, publicado em novembro, também explora problemas com o Javascript e não foi corrigido até agora. A expectativa de analistas de segurança é que a correção saia nesta terça-feira (13/12).

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail