Mandei esta msg para minha lista pessoal mas como não vi nada sobre o assunto na nossa lista ubuntu-br resolvi postar, mesmo sendo obviamente off-topic. Abs
---------- Forwarded message ---------- From: Leonardo Castro <leoccas...@gmail.com> Date: 2009/10/21 Subject: Microsoft exposes Firefox users to drive-by malware downloads To: Leonardo Castro <leoccas...@gmail.com> Por essas e outras é que eu não uso o Internet Explorer; aliás, por essas e outras é que eu também não uso Windows, exceto por falta de alternativa! 1 - a Microsoft instala sorrateiramente, extensões em um software que não é dela (Mozilla firefox), ou melhor que é concorrente do navegador que a MS "empurra" junto como o Windows (o famigerado Internet Explorer); 2 - as extensões são instaladas de forma automática, através da ferramenta de atualizações do Windows, sem que as mesmas sejam solicitadas pelo usuário, sem que seja pedida autorização do usuário antes da instalação e sem qualquer informação pós-instalação; 3 - para piorar, as extensões da Microsoft não podem ser desinstaladas através do dispositivo de gerenciamento de extensões do Firefox, ou seja, elas interferem no módulo de gerenciamento de extensões do concorrente; o resultado é que o susário não consegue desinstalar as ditas extensões; 4 - meses depois, a Microsoft é obrigada a revelar as extensões que ela própria instalou, sem autorização, expõe os usuários do Firefox a graves falhas de segurança e vem a público recomendar a desinstalação das mesmas. Tudo isto é particularmente irritante porque, dentre outras coisas, a Microsoft dedica rios de dinheiro a campanhas de contrainformação que visam denegrir os produtos da concorrência, inclusive com alegações maliciosas sobre vulnerabilidades quando, na verdade, os produtos da referida empresa, com Internet Explorer à frente, são famosos pelo histórico de fallhas gravíssimas de segurança. O mico, ou melhor, o king kong da Microsoft vem sendo amplamente noticiado mas, infelizmente, apenas nas mídias especializadas. A matéria abaixo saiu no ZDnet, que eu particularmente, considero o melhor site de jornalismo tecnológico na área de TI. (Para ver a matéria no site, o link é http://blogs.zdnet.com/security/?p=4614&tag=nl.e550) Abraços L October 16th, 2009 Microsoft exposes Firefox users to drive-by malware downloads Posted by Ryan Naraine* @ 9:24 am Remember that Microsoft .NET Framework Assistant add-on that Microsoft sneaked into Firefox without explicit permission from end users? Well, the code in that add-on has a serious code execution vulnerability that exposes Firefox users to the “browse and you’re owned” attacks that are typically used in drive-by malware downloads. The flaw was addressed in the MS09-054 bulletin that covered “critical” holes in Microsoft’s Internet Explorer but, as Redmond’s Security Research & Defense team explains, the drive-by download risk extends beyond Microsoft’s browser. A browse-and-get-owned attack vector exists. All that is needed is for a user to be lured to a malicious website. Triggering this vulnerability involves the use of a malicious XBAP (XAML Browser Application). Please not that while this attack vector matches one of the attack vectors for MS09-061, the underlying vulnerability is different. Here, the affected process is the Windows Presentation Foundation (WPF) hosting process, PresentationHost.exe. While the vulnerability is in an IE component, there is an attack vector for Firefox users as well. The reason is that .NET Framework 3.5 SP1 installs a “Windows Presentation Foundation” plug-in in Firefox. Now, Microsoft’s security folks are actually recommending that Firefox users uninstall the buggy add-on: For Firefox users with .NET Framework 3.5 installed, you may use “Tools”-> “Add-ons” -> “Plugins”, select “Windows Presentation Foundation”, and click “Disable”. This introduction of vulnerabilities in a competing browser is a colossal embarrassment for Microsoft. At the time of the surreptitious installs, there were prescient warnings from many in the community about the security implications of introducing new code into browsers without the knowledge — and consent — of end users. This episode also underscores some of the hypocrisy that has risen to the surface in the new browser wars. When Google announced it would introduce a plug-in that runs Google Chrome inside Microsoft’s Internet Explorer, Microsoft whipped out the security card and warned that Google’s move increased IE’s attack surface. “Given the security issues with plug-ins in general and Google Chrome in particular, Google Chrome Frame running as a plug-in has doubled the attach area for malware and malicious scripts. This is not a risk we would recommend our friends and families take.” Of course, when it’s Microsoft introducing the security risk to other browsers (Silverlight, anyone?), we should all just grin and take it. ** - Ryan Naraine is a journalist and security evangelist at Kaspersky Lab. He manages Threatpost.com, a security news portal. Here is Ryan's full profile and disclosure of his industry affiliations.* -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br