18 C
Distrito Federal
quinta-feira, 1 outubro, 2020 - 12:16 PM
No menu items!
- PUBLICIDADE -

Falha de segurança no Chromium pode expor milhões de usuários

Mais Lidas

Ouvidoria recebe, GDF Presente atende – Agência Brasília

No Riacho Fundo II, foram recolhidas 251 toneladas de entulho das ruas, estradas e áreas públicas| Foto: DivulgaçãoO...

09 SETEMBRO

09 SETEMBRO Fonte: Agência Brasília

11/09/2020

11/09/2020 Fonte: Agência Brasília

Poucas pessoas se preocupam ativamente em manter seus navegadores web devidamente atualizados. O que um erro tremendo, j que o browser a porta de entrada para muitos malwares que podem prejudicar seu dispositivo.

Pesquisadores da PerimeterX divulgaram nesta semana que uma falha em navegadores baseados no Chromium para Windows, Mac e Android poderia ter permitido que hackers contornassem totalmente as regras da Poltica de Segurana de Contedo (Content Security Policy, ou CSP) do browser. Essa brecha pode afetar navegadores Chrome, Opera e Edge que no estejam atualizados.

Rastreado como CVE-2020-6519, o problema afeta as verses do Chrome 73 (de maro de 2019) at 83 (de julho de 2020). De acordo com especialista em segurana digital Gal Weizman, alguns dos maiores sites do mundo esto expostos a essa vulnerabilidade, tais como Facebook, WellsFargo, Gmail, Zoom, Tiktok, Instagram, WhatsApp, Investopedia, ESPN, Roblox, Avoid, Blogger e Quora.

“Para entender melhor a magnitude desta vulnerabilidade – os usurios potencialmente afetados esto na casa dos bilhes, com o Chrome tendo mais de dois bilhes de usurios e mais de 65% do mercado de navegadores por um lado, e alguns dos sites mais populares da web sendo vulnerveis por outro lado”, afirma Weizman.

A mesma falha tambm foi destacada pelo Tencent Security Xuanwu Lab h mais de um ano, apenas um ms aps o lanamento do Chrome 73, em maro de 2019. Mas s foi corrigida quando o PerimeterX relatou o problema no incio de maro deste ano. Depois que o problema foi relatado ao Google, a equipe do Chrome produziu uma correo para a vulnerabilidade na atualizao do Chrome 84 (verso 84.0.4147.89) disponibilizada em 14 de julho.

A CSP uma camada extra de segurana que ajuda a detectar e mitigar certos tipos de ataques, incluindo Cross-Site Scripting (XSS) e ataques de injeo de dados. Com as regras de CSP, um site pode exigir que o navegador da vtima execute certas verificaes que podem bloquear scripts especficos – projetados para explorar a confiana do navegador no contedo recebido do servidor.

Este um dos principais mtodos usados pelos sites para impor polticas de segurana de dados e evitar a execuo de scripts maliciosos. Por isso, um desvio de CSP pode colocar os dados do usurio em risco. A falha descoberta pela Tencent e pela PerimeterX contorna o CSP configurado para um site simplesmente passando um cdigo JavaScript malicioso na propriedade “src” de um elemento HTML iframe.

Weizman observa que alguns sites protegidos por CSP, como Twitter, Github, LinkedIn, Google Play Store, pgina de login do Yahoo, PayPal e Yandex no foram considerados vulnerveis ao CVE-2020-6519, “pois estes implementam CSP usando ‘nonce’ ou ‘hash’, e por isso adicionam uma camada de segurana que implementada no lado do servidor e tambm no lado do cliente”.

Porm, o especialista destaca que uma vulnerabilidade em um mecanismo de segurana que considerado confivel por muitos sites para aplicar polticas mais rgidas em scripts de terceiros pode ter vastas implicaes. “Alguns dos maiores sites dependem de CSP para fazer cumprir sua poltica e isso pode dar uma falsa sensao de segurana ao rodar scripts de terceiros”, completa Weizman.

O alcance da vulnerabilidade ainda desconhecido, mas usurios devem atualizar seus navegadores para a verso mais recente o quanto antes, para se proteger contra tal execuo de cdigo. Administradores de pginas, por sua vez, devem usar os recursos nonce e hash do CSP para aumentar a segurana.

Via: The Hacker News


Segurana Navegadores Chrome Opera EDGE cibersegurana Chromium falha de segurana microsoft edge

Fonte: PMDF

- PUBLICIDADE -

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

- PUBLICIDADE -

Últimas Notícias

Tech, Ciência e Espaço | As principais notícias para começar o dia

OOlhar Digitalpreparou um resumo dos principais assuntos em tecnologia, cincia e espao para voc comear o dia informado do...

Microsoft Outlook tem instabilidade e fica fora do ar nesta quinta

O Microsoft Outlook passa por instabilidade que afeta o acesso ao servio de e-mail no mundo todo. Usurios comearam a reportar problemas para utilizar...

Cortes no Goldman levam demissões em bancos a quase 70 mil

(Bloomberg) — Os cortes de empregos no setor bancário continuam com o...

Plano de mineração de Bolsonaro ameaça indígenas e

Mais espaço para o capital estrangeiro, flexibilização das leis ambientais, destruição do...
- PUBLICIDADE -

Continue Lendo

- PUBLICIDADE -