Sabemos que segurança é algo fundamental hoje em dia, termos certeza de que estamos em um ambiente seguro é algo importante. E na tecnologia a área de segurança tem que ser levada bastante a sério, afinal compartilhamos nossas informações pessoais em sites e servidores de grandes empresas, e é fundamental que elas prezem por uma boa segurança.

Mas como nem tudo é perfeito, recentemente descobriu-se uma nova vulnerabilidade no Internet Explorer, navegador da Microsoft. A falha é aplicável a todas as últimas versões do IE e pode permitir que qualquer pessoa acesse informações credenciais de login de um usuário. Esse é um erro de cross-site scripting (XSS).

Para demonstrar a falha o conteúdo do site deusen.co.uk foi alterado por um usuário externo.

screenshot

Em resumo a vulnerabilidade funciona assim:

Uma vez na posse do cookie do site, um invasor pode acessar as mesmas áreas restritas normalmente disponíveis apenas para a vítima, incluindo aquelas com os dados do cartão de crédito, históricos de navegação e outros dados confidenciais. Os phishers também pode explorar o bug para enganar as pessoas para revelarem senhas para sites.

Mas calma, a Microsoft já se pronunciou sobre o caso:

Temos conhecimento dessa vulnerabilidade e a mesma está sendo explorada ativamente e estamos trabalhando em uma atualização de segurança. Porém para conseguir sucesso nesse bug, o invasor precisa primeiro precisa atrair o usuário para um site malicioso, muitas vezes através de phishing. Se você possuí o SmartScreen, que é ativado por padrão nas versões mais recentes do Internet Explorer, ele ajudará a proteger contra sites de phishing. Continuamos a incentivar os clientes a evitar a abertura de links de fontes não confiáveis ​​e visitas a sites não confiáveis, e para fazer logout ao sair dos sites para ajudar a proteger suas informações.

Em breve a Microsoft irá liberar um update de segurança, que irá sanar essa vulnerabilidade do Internet Explorer e deixará, sem dúvidas, os usuários mais seguros. Lembrando como dito pela própria Microsoft, evite visitar sites desconhecidos ou com propostas aparentemente “incríveis” eles podem tentar ter acesso a suas informações.

Via: Wmpoweruser