Mozilla corrige 20 falhas de segurança no Firefox

ffoxNessa ultima semana a Mozilla corrigiu cinco vulnerabilidades do Firefox que foram exploradas por pesquisadores durante o concurso hacker Pwn2Own. Os responsáveis por descobrir as brechas ganharam 200 mil dólares por seu esforço coletivo.

A atualização para o Firefox 28 também adicionou suporte à Central de Notificação do OS X e decodificação de vídeo VP9 em todas as plataformas. O VP9 é um padrão de compressão de vídeo open-source criado pelo Google e suportado pelo Chrome, Firefox e Opera.

Mas o Firefox 28 foi essencialmente um update de segurança. Além das falhas identificadas durante o Pwn2Own, a empresa também corrigiu outras 15 vulnerabilidades.

No desafio hacker co patrocinado pela Iniciativa da HP TippingPoint Zero Day (ZDI) e pelo Google, o Firefox foi atingido por quatro equipes ou indivíduos – o dobro do número de hacks sofridos por qualquer outro browser. O Google corrigiu as vulnerabilidades encontradas no Chrome já na sexta-feira passada, um dia depois de o concurso terminar.

Mariusz Mlynski, Jüri Aedla e uma equipe da empresa fornecedora de vulnerabilidades francesa Vupen invadiram o Firefox no primeiro dia do Pwn2Own; George Hotz fez o mesmo no segundo.

As quatro invasões de sucesso e o baixo valor dos prêmios do Firefox refletem o quão fácil foi para atacantes invadir o navegador – o qual, diferentemente do Chrome, IE e Safari, não possui uma tecnologia sandbox antiexploit que isola o browser do restante do sistema.

Ataques

Para executar o código de ataque em um dispositivo com um browser que contém uma sandbox, o cracker precisa não apenas explorar a vulnerabilidade do software, mas também contornar esse sistema de segurança – geralmente com uma segunda vulnerabilidade.

Isso foi destacado no Pwn2Own, onde três dos quatro hacks no Firefox precisaram de apenas uma vulnerabilidade (Mlynski foi o único pesquisador que explorou dois bugs no Firefox).

Todos os cinco bugs encontrados durante o concurso foram classificados como “crítico” pela Mozilla, o maior nível de classificação de ameaça da empresa.

Duas outras vulnerabilidades críticas foram corrigidas na terça-feira, identificadas como “erros de segurança da memória” no engine que alimenta o Firefox.

“Alguns desses bugs mostraram evidência de corrupção de memória sob certas circunstâncias, e presumimos que, com esforço suficiente, pelo menos alguns deles poderiam ser explorados com o intuito de rodar códigos arbitrários”, escreveu a Mozilla em um boletim de segurança.

A Mozilla também corrigiu três vulnerabilidades classificadas como “alto”, sete como “moderado” e três como “baixo” no Firefox 28. Apenas das das 13 falhas afetavam a versão do navegador para Android, enquanto que uma se limitava ao Firefox OS.

O Firefox atualmente responde por cerca de 17,7% de todos os navegadores de desktop, a menor parcela desde maio de 2008, de acordo com as últimas estatísticas da empresa de medição de Web Net Applications.

As versões do Firefox 28 para Mac e Linux podem ser baixadas diretamente no site da Mozilla. Os usuários que já tiverem o programa instalado em suas máquinas receberão a atualização automaticamente.

Os usuários de Firefox para Android podem fazer o update por meio da Google Play.

A próxima versão do navegador da Mozilla está programada para 29 de abril e também para estrear a nova interface do navegador do usuário (UI), apelidado de “Australis”.

Fonte:  IDG Now!

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s