Firefox 2 não será mais atualizado

Foram lançadas hoje as versões 3.0.5 e 2.0.0.19 do Firefox, que corrigem inúmeras vulnerabilidades detectadas nos últimos tempos.

Um fato importante com esse lançamento é que o Firefox 2 não receberá mais nenhuma atualização de segurança ou de estabilidade. O recurso de antiphishing não estará mais disponível para os usuários do Firefox 2. Com isso todos aqueles que ainda usam o FF2 tem de correr para se atualizar.

É bom notar que segundo a Net Applications 4,8% dos internautas ainda usam o FF2 hoje, contra 15,75% que usam o FF3.
Levando isso em conta acho que a Mozilla tinha de fazer uma campanha mais massiva para incentivar as atualizações.

Fonte: LWN

Microsoft lança patch de emergência para falha no IE

A Microsoft vai lançar hoje (17/12) um patch para uma vulnerabilidade crítica do IE que permite que crackers tomem conta de computadores de usuários através de sites forjados.

A falha, aparentemente, foi divulgada por uma firma de segurança Chinesa, que acreditava que a M$ já havia corrigido a vulnerabilidade. Ledo engano!

Depois da divulgação a vulnerabilidade se espalhou e hoje estimasse que já hajam mais de 2 milhões de computadores dominados no mundo.

No que só pode ser uma piada, a Microsoft anunciou que, equipes de segurança do mundo todo foram acionadas para disponibilizar o patch no "prazo sem precedentes de oito dias". Oito dias para consertar um zero-day exploit... realmente sem precedentes!

Anyway... o patch deve ser lançado hoje e é recomendado que todos instalem ele o mais breve possível.
O Security Advisory que fala sobre a vulnerabilidade é o 961051.

Fontes: The Inquirer, AFP e Security Focus

Google Chrome: O pior em gerenciamento de senhas

Você usa o seu browser pra guardar as senhas de todos aqueles sites que você visita? Você também usa o Google Chrome? Então, segundo uma pesquisa da Chapin Information Services você pode estar em grande perigo.

O que acontece é que, segundo os pesquisadores, vários browsers não fazem checagens "básicas" para garantir que eles estão enviando a sua senha para o site correto, o que pode causar uma grave falha de segurança quando você tenta acessar uma página que foi feita para pedir uma senha especifica (como a do Orkut, por exemplo).

Ainda segundo o site a vulnerabilidade já havia sido identificada dois anos atrás no Firefox, e já foi corrigida. Ainda no quesito "gerenciamento de senhas", os browsers mais bem classificados foram o Opera e o Firefox, com o IE 7 vindo em terceiro e por último o Safari e o Chrome.

Fonte: The Inquirer

IE tem menos bugs que o Firefox?

É o que um teste realizado pelo uTest revela.
Antes de mais nada, o que é o uTest? Basicamente? Uma "Bug Party" :)
Não... sério... Pelo que entendi é uma empresa que usa bug testers ao redor do mundo para testar softwares. Essa empresa pode ser contratada para fazer o beta test de softwares antes desses atingirem o mercado.

Agora, qual a razão deles terem feito esses testes com os navegadores vai além do meu conhecimento.
Mas enfim... os resultados!

IE8: 356 testadores, 168 bugs (9% críticos)
FF 3.1b: 514 testadores, 207 bugs (24% críticos)
Chrome: 461 testadores, 297 bugs (12% críticos)

Os testes foram realizados por equipes diferentes, de tamanhos diferentes, então o resultado não é nada "cientifico" (o Firefox foi o que tinha mais gente procurando bugs).
Será que o IE8 ta ficando bom mesmo? Só espero que eles mandem esses bugs para as empresas desenvolvedores pra que todos sejam resolvidos o mais breve possível.

Google Handbook para segurança de navegadores

A Google lançou recentemente um livro online sobre segurança de navegadores. O livro é indicado "para prover os desenvolvedores de aplicações web, desenvolvedores de browsers e pesquisadores de segurança da informação com uma fonte única de referência para aspectos chave das propriedades de segurança de browsers atuais".

Dei uma rápida olhada e eles fornecem comparações de como o IE (6 e 7), Firefox (2 e 3), Opera, Chrome e Safari executam e verificam várias opções para navegação. Documento realmente interessante para quem quer escrever aplicações seguras para todos os navegadores disponíveis.

O livro tem cerca de 60 páginas, é atualizado constantemente (é Wiki), e está disponível gratuitamente aqui.

Modulo do Iptables permite regras baseadas no SO

Descobri hoje um projeto que parece ser bem interessante, chamado osf, que permite que usemos o tipo do sistema operacional para criar regras no Iptables. Assim podemos, por exemplo, impedir qualquer comunicação vinda da porta 445 de uma máquina Windows se chegue a nossa rede interna (afinal, existe uma grande chance disso ser um vírus ;) ). Brincadeiras a parte as possibilidades são grandes, e fica a cargo da imaginação de cada um.

O que o OSF faz é usar uma técnica conhecida como passive finger printing para descobrir qual o sistema operacional está originando a comunicação. Ele faz isso usando vários campos do protocolo TCP/IP que, a depender do valor, identificam (de forma aproximada), um sistema operacional. Essa mesma técnica é usada em outros programas como o p0f, mas a implementação para o iptables é única.

O osf usa uma lista de assinaturas disponível pelo pessoal do OpenBSD, mas a lista parece não ser atualizada a mais de dois anos, então alguns sistemas novos talvez não sejam reconhecidos.

No site do projeto tem um passo a passo explicando como instalar/usar a ferramenta. Vou tentar brincar com ela esses dias daí posto uma mensagem aqui explicando como o bixinho funciona.

Número de novos virus para Mac cai

Mas isso não torna o Mac seguro. É o que diz Andy Greenberg da Forbes.

Tudo começou recentemente, quando houve um grande estardalhaço na mídia graças a um anúncio no site da Apple recomendando a instalação de antivírus nos Macs. Claro que a mídia caiu em cima dizendo que isso era um sinal que o OS-X não era mais tão seguro. De imediato a Apple tirou o anúncio do ar e disse, para todo mundo ouvir, que usuários de Mac não tinham com o que se preocupar, que o Mac era seguro por natureza.

Para completar recentemente a F-Secure anunciou que o número de vírus detectados para Mac nos últimos seis meses havia caído. Nos últimos meses foram detectados 17 novas ameaças, contra 61 e 107 nas últimas avaliações.

Seria então o Mac realmente seguro? Claro que não!
A grande justificativa dessa "falta de vírus" para Macs é a mesma de não existirem muitos vírus para Linux: eles ainda não dominam o mercado. Hoje em dia o Mac é responsável por 9% do mercado global de micros, o que ainda é pouco . No dia em que ele ou o Linux ocuparem uma marca expressiva do mercado (25% ou mais), pode ter certeza que você vai ouvir falar de vírus para esses sistemas. Se eles vão ser efetivos já são outros 500...

Fonte: Forbes