Home > Notícias

Falha no IE permite que crackers acessem e raptem contas do Gmail

Bug em arquivos no cache do browser combinados a uma falsa requisição no e-mail do Google permite acesso a contas e anexos

Por Computerworld/EUA

19/12/2007 às 15h22

Foto:

O Internet Explorer da Microsoft tem uma vulnerabilidade que permite que crackers raptem e acessem contas do Gmail do Google, alertou a empresa de segurança Cenzic Inc na segunda-feira (17/12).

Leia mais:

O bug não especificado de arquivos no cache do browser, ao ser combinado com uma falsa requisição cross-site no serviço de e-mail do Google, expõe os logins do Gmail, permitindo acesso a contas e quaisquer mensagens e anexos ali.

Embora nenhum bug possa ser iniciado remotamente, há cenários onde não há limites. “Estas vulnerabilidades podem ser exploradas em computadores compartilhados”, afirma a Cenzic.

A contribuição do Gmail com a vulnerabilidade é que suas URLs mostram anexos quando visualizadas pelo comando “View Source”. O IE, contudo, ostenta “uso impróprio de diretrizes e checagem incorreta de acesso em arquivos com cache no browser.”

O Google Toolbar teve uma brecha revelada, na terça-feira (18/12), que abre o PC a fraudes. A empresa já trabalha em uma correção.

Juntos, os bugs concedem permissão para um cracker raptar um PC público e quaisquer logins do Gmail que tenham sido utilizados na máquina desde que o último cache do IE tenha sido deletado.

O browser só apaga o conteúdo de seu cache quando novos arquivos são adicionados ou quando o usuário habilita o comando “Delete Browsing History.”

A Microsoft negou sequer a existência de um bug no IE. “Investigamos a alegação e descobrimos que não existe vulnerabilidade”, afirmou uma porta-voz da empresa em e-mail ao Computerworld, na terça-feira (18/12).

“No cenário em questão, um cracker precisaria de acesso autenticado ao sistema para modificar os arquivos do cache. Com este nível de acesso, seria possível instalar arquivos maliciosos que causariam mais impacto do que na situação descrita”, continua a porta-voz.

Mesmo que a colocação da Microsoft seja verdadeira, ela não corresponde ao alerta da Cenzic. Os PCs públicos não precisam de autenticação para acesso.

O Computerworld não conseguiu contato imediato com o Google.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail