Home > Notícias

Estudo aponta falha comum em segurança de principais navegadores

Protocolo URI, que motivou discussão entre Mozilla e MS, pode ser usado para ataques mesmo sem falhar de segurança em browsers

Por Robert McMillan, para o IDG Now!*

16/08/2007 às 18h19

Foto:

Protocolo URI, que motivou discussão entre Mozilla e MS, pode ser usado para ataques mesmo sem falhar de segurança em browsers

Os pesquisadores de segurança Billy Rios e Nathan McFeters afirmaram ter descoberto uma nova maneira pela qual a tecnologia que lida com o protocolo Uniform Resource Identifier (URI), usada pelo Windows para ativar programas pelo navegador, pode ser usada para roubar dados da vítima.

Bugs do tipo se tornaram um tópico em discussão pelo último mês, desde que o pesquisador Thor Larholm demonstrou como um browser pode ser enganado para enviar informações maliciosas para o Firefox usando o método. O bug permitia que crackers rodassem malware no PC da vítima.

Agora, a dupla demonstrou como crackers podem usar para fins maliciosos funções legítimas do software que é ativado pelo protocolo URI, algo conhecido como "exploração baseado em funcionalidade".

Os resultados iniciais mostram que pode haver diversos caminhos para tal.

Mesmo que não divulguem o nome da companhia responsável pelo programa, os pesquisadores afirmaram que encontraram uma falha importante em um popular programa que pode ser usado para roubar dados da vítima.

"É possível pelo URI para roubar conteúdo de formulários da máquina do usuário e compartilhá-lo para servidores remotos", afirmou McFeters, conselheiro de segurança da Ernst & Young. "Isto tudo é possível apenas pelas funcionalidades oferecidas pelo programa".

A dupla pretende divulgar os resultados de seus estudos após o fabricante conserte o problema, mas este pode ser o começo de novos problemas com a tecnologia que está começando a ser destrinchada por profissionais de segurança.

O protocolo é usado para que serviço inicie aplicativos dentro do micro do usuário com um simples clique de botão. Ao tentar comprar uma canção no site da Apple, a página envia um pedido à máquina do PC para que o software iTunes seja aberto sem que o usuário saia do site.

O Firefox, por exemplo, usa o protocolo "FirefoxURL" para que usuários possam iniciar o browser fora do Internet Explorer, da Microsoft, o que acarretou trocas de acusações entre ambas sobre a responsabilidade da falha.

A Mozilla inicialmente imaginou que o bug descrito por Larholm precisava do IE para ser iniciado, mas a suposição se mostrou errada, e, duas semanas depois, o time do Firefox foi forçado a corrigir o problema.

"Caso uma organização como a Mozilla está tendo problemas em entender como o URI aumenta o escopo dos ataques em seus aplicativos, pense então como é difícil para uma pequena desenvolvedora", afirma McFeters.

*Robert McMillan é editor do IDG News Service, em São Francisco

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail