De acordo com um alerta do US-CERT, um exploit prova de conceito foi publicado para uma nova vulnerabilidade 0day(sem correção e desconhecida) que poderia ser usada por uma variedade de ataques maliciosos contra usuários do Windows executando o IE 6, IE 7 e IE 8 beta 1.
O código, publicado por 'sirdarckat', mostra como a vulnerabilidade pode ser explorada para sequestrar um iFrame em um site legítimo e assim capturar o que o usuário digita no teclado. Isto ocorre por que o Internet Explorer não consegue restringir propriamente o acesso aos frames do documento, permitindo que um atacante modifique o conteúdo dos frames em um domínio diferente.
A imagem abaixo (de uma prova de conceito criada pelo pesquisador Aviv Raff) mostra a página inicial do Google em um frame sequestrado dentro do Windows Update. As implicações de segurança são assustadoras:
Perante esta situação a minha sugestão é de usar o IE7 só em situações muito pontuais e em sites de total confiança, pois caso o IE7 seja infetado com esta nova praga nada adiante entrar em sites confiáveis, pois ele será automaticamente manipulado, vazando assim toda a informação que se digita no teclado.
Usar sempre que possível o Firefox,(3) não é perfeito mas tem um poder de atualização muito suprior ao IE7 e não é vulneravel a esta situação.
Um abraço
Paulo Rodrigues
Nenhum comentário:
Postar um comentário