Pesquisador de segurança afirma ter encontrado uma falha no Skype a qual permitiria  a injeção de XSS ( Cross Site Scripting). Será? Vamos descobrir ^^

A porta-voz do Skype discorda, e afirmou em   um email ao site TheRegister, que tal falha não existe, e que o pesquisador se equivocou.

O que fora dito pelo pesquisador é que os campos, telefone móvel, casa, e cidade, estariam vulneráveis a ataques XSS. O mesmo diz ter realizado teste e disponibilizou algumas imagens do resultado do teste. O pesquisador ainda afirmou que atacantes poderiam utilizar destas falhas para inserir código maliciosos que levassem  os usuários a sites maliciosos, ou até mesmo se infectarem por algum tipo de WORM (verme em inglês).

Veja abaixo a imagem tida como prova da existência da falha:

Em resposta a porta-voz do Skype enviou um e-mail ao TheRegister (site de noticias) com o seguinte conteúdo:

Eu queria te dizer, que isso não é verdade o que ele disse, porque as entradas na (casa, escritório e telefone celular e até mesmo na “cidade”) são incorporados através de HTML “.

.

Como bom “fuçador” que sou, logo que fiquei sabendo da possível vulnerabilidade tratei logo de tentar reproduzir a falha na minha maquina, e pelo que vi a porta-voz tem razão. Pois dos campos citados pelo pesquisador nenhum deles reproduz o efeito do código para refletir no XSS.

E como  prova do que estou falando tirei algumas snapshots do meu Slype onde “reproduzi” com os mesmos códigos utilizados pelo pesquisador em questão.

Vejam:

Alguns campos até aceitam entradas em HTML (como a porta-voz tinha dito) mas não reproduzem o html, e no campo tel.celular, não é aceito/incorporado de forma alguma o código em HTML. Prestem atenção na imagem que disponibilizei, e vão ver que o campo tel.celular não aceitou o código que tentei inserir.

Tendo isso como base, não quero aqui dizer que o pesquisador esta errado, mas creio que ele deveria ter mais cautela antes de tomar partido de uma noticia tão forte, para um programa amplamente utilizado. Até por uma questão de zelo com sua imagem.

Tempos atrás, ou melhor em julho foi descoberta uma  falha semelhante a esta que o pesquisador “disse ter encontrado”. Porém em julho havia realmente um buraco no Skype que permitia a um atacante inserir códigos maliciosos do tipo Cross Site Scripiting.

E logo que foi descoberta, a equipe do Skype resolveu o problema. Para encerrar  essa postagem peço que se tiverem alguma dúvida sobre o tema abordado neste post, comente que irei responder.

Ontem a tarde a Microsoft lançou um alerta de segurança, que revela vulnerabilidade em vários de seus produtos de segurança que usam o engine Anti-Malware.

A falha permitia a um atacante que tivesse uma conta padrão no sistema operacional, criar uma chave de registro a qual quando escaneada   por uma das ferramentas anti-malwares afetadas, realizava a escalada de privilégios ao atacante transformando sua conta padrão em uma conta LocalSystem

Contas LocalSystem são predefinidas no sistema operacional e atua para o computador na rede, e tem privilégios substanciais. Sendo assim um atacante poderia em tese causar muito estrago.

A falha não chegou a ser divulgada ou explorada, pois a Microsoft foi alertada antes que qualquer ataque fosse registrado. A Microsoft informou que a falha foi relatada em sigilo a ela.

Em seu alerta a Microsoft diz que as ferramentas foram atualizadas automáticamente, porém não informou qual foi a data em que lançou a atualização. Mas informou que  os produtos irão receber tais atualizações após 48 do lançamento da atualização, sendo assim pode-se dizer que a atualização foi liberada a dois dias.

Os produtos afetados por essa vulnerabilidade são:

* Windows Live OneCare
* Microsoft Security Essentials
* Windows Defender Microsoft
* O Microsoft Forefront Client Security
* Microsoft Forefront Endpoint Protection 2010
* Ferramenta de Remoção de Software Mal-Intencionado da Microsoft

Portanto se você utiliza alguma dessas ferramentas, esteja em dia com as atualizações para ficar livre dessa vulnerabilidade.

Mas vale lembrar que as chances de um ataque destes ocorrer são muito remotas, porém não é impossível.

A mudança é parte do que Mozilla chama de uma atualização de sua Security Bug Bounty Program, que foi lançado em 2004.

“Muita coisa mudou em seis anos desde que  o programa Mozilla foi anunciado, e nós acreditamos que uma das melhores maneiras para manter a segurança de nossos usuários é torná-lo economicamente sustentável para os investigadores de segurança, para fazer a coisa certa ao divulgar informações”, escreveu Lucas Adamski, diretor de engenharia de segurança, em um blog.

A Mozilla também ampliou o valor da recompensa, que continuará a aplicar-se o Firefox e o cliente de email Thunderbird, e também para o navegador Firefox móvel e outros serviços.

“Estes são produtos que têm, tradicionalmente nos temos pagado prêmios, de qualquer maneira, mas nós quisemos fazer isso explícito”, escreveu Adamski.

Mozilla pode negar uma recompensa para um pesquisador, no entanto, se a organização considera a pessoa agiu de má fé para com os usuários,disse  Adamski.

Outras partes do programa serão mantidas, no entanto. Uma recompensa ainda vai ser pago mesmo que um pesquisador tenha publicado informações sobre as vulnerabilidade ou se o pesquisador não tem tempo para trabalhar em estreita colaboração com a equipe de segurança da Mozilla.