sábado, dezembro 26, 2009

Linha Defensiva - Falha no Internet Explorer 8 torna vulneráveis páginas antes seguras - segurança

Falha no Internet Explorer 8 torna vulneráveis páginas antes seguras

Proteção contra XSS permite execução de código arbitrário em páginas que sem ela seriam seguros

Leonardo Brito | 02/12/2009 - 23h18

O Microsoft Internet Explorer 8 trouxe como novidade uma proteção contra cross-site scripting, ou XSS. No entanto, o sistema de proteção contém falhas de segurança que, se exploradas, permitem injeção de código arbitrário JavaScript em páginas que seriam seguras sem o uso da proteção.

A proteção contra XSS da Microsoft funciona filtrando respostas do servidor, modificando-as se detectar algo suspeito. É esta arquitetura que, segundo os especialistas, permite a terceiros mal-intencionados inserir código arbitrário no código das páginas. Para isso, basta ter alguma forma de controle sobre o site, fato comum em fóruns e páginas web 2.0 como redes sociais ou wikipedia.

O problema foi reconhecido pela Microsoft há vários meses, mas a empresa não tomou medidas a respeito. A Google usa sua própria proteção contra a proteção da Microsoft, desabilitando esta com um “anti-proteção-XSS”.


Linha Defensiva - Falha no Internet Explorer 8 torna vulneráveis páginas antes seguras - segurança

 



 

 

 

 

Nenhum comentário:

Postar um comentário

Aúncio