A Mozilla divulgou, no último dia 18, que a versão 3.6 do Firefox apresenta uma vulnerabilidade que permite o controle remoto da máquina por parte do atacante.

A empresa já avisou que o problema ocorre apenas na versão 3.6 e que já está corrigido na versão 3.6.2, a ser lançada no dia 30 deste mês.

Alguns pontos interessantes:

• o problema afeta apenas os usuários deste navegador no ambiente Windows (ponto para aqueles que, como eu, preferem Linux);
• se é uma vulnerabilidade crítica, por que não publicar um patch imediatamente? Por ser no ambiente Windows precisam se comportar como a Microsoft?

Enquanto o dia do lançamento oficial não chega, usuários do Windows podem obter a versão 3.6.2 beta nos servidores de desenvolvimento da própria Mozilla.

Atualização: Menos de duas horas depois deste post, a Mozilla decidiu antecipar o lançamento oficial do Firefox 3.6.2. Pelo visto, não fui eu o único a questionar a demora. Basta aguardar a atualização automática, ou fazer o download a partir da página oficial.

Na semana passada, foi noticiado que peritos da NetWitness, uma empresa de segurança especializada em forense computacional, durante atividades de rotina, descobriram uma botnet composta por mais de 75 mil computadores pertencentes a mais de 3 mil organizações ao redor do mundo, incluindo algumas das 500 maiores empresas segundo a Fortune e órgãos do governo norte-americano.

Uma botnet é uma rede formada por computadores contaminados e controlados remotamente por crackers. Sem conhecimento de seus donos, esses computadores passam a executar quaisquer tarefas desejadas pelos malfeitores, como ataques em larga escala, envio de spam, distribuição de pornografia ou roubo de dados.

A botnet descoberta, denominada “Kneber botnet” em decorrência do nome de usuário usado para conexão entre as máquinas, baseia-se no Zbot ou ZeuS, um pacote malicioso existente desde 2007 e comercializado pelos malfeitores em fóruns especializados. Naturalmente perigoso, esse malware atualiza-se periodicamente nas máquinas infectadas, evoluindo constantemente. Na Kneber botnet, sua periculosidade foi potencializada pelo uso concomitante do Waledac, malware conhecido por disseminar spam em redes ponto-a-ponto, possivelmente como forma adicional de contágio.

Fonte: The Wall Street Journal.

Os especialistas identificaram, no período de apenas um mês, mais de 75GiB de dados roubados. São mais de 68 mil credenciais para acesso a contas bancárias, redes sociais (como Facebook, hi5 e Sonico) e e-mails (como Yahoo! e Hotmail). Também foram roubados cerca de 2 mil certificados digitais, além de verdadeiros dossiês dos proprietários das máquinas contaminadas.

A variante do ZeuS usada no ataque explora falhas de segurança em programas como Internet Explorer, Mozilla Firefox, Adobe Flash e Adobe Reader, e, até o momento, não é detectada pela maioria dos antivírus existentes. Contudo, restringe-se apenas a sistemas operacionais da família Windows, especialmente Windows XP e Windows Vista (mais uma vez, ponto para os usuários Linux).

Segundo o Amit Yoran, presidente da NetWitness, a proteção convencional contra malware e detecção com base em assinatura de sistemas são, por definição, inadequados para identificação do Kneber ou outras ameaças mais avançadas.

Ou seja, como afirmei anteriormente, os usuários precisam deixar de confiar cegamente no seu software antivírus e, entre outras coisas:

• usar sistemas operacionais e programas atualizados (muito difícil com cópias piratas);
• evitar sites suspeitos;
• observar com atenção antes de clicar em links na web;
• verificar a procedência das mensagens de e-mail; e
• evitar abrir anexos de e-mail.

Eu te disse! Eu te disse!

Para aqueles que desejarem uma leitura mais aprofundada, recomendo os artigos originais:

• The “Kneber” BotNet – A ZeuS Discovery and Analysis;
• Zeus: King of the Bots; e
• The ZeuS, ZBOT and Kneber Connection.

Atualização em 26/02/2010: acrescentado link para o Perguntas e respostas da Trendmicro.

Com  os problemas de segurança que têm afetado o internet Explorer, recentemente desaconselhado pelos governos de dois países, foi oportuno o lançamento da versão 3.6 do Firefox, no último dia 21.

Porém, no Ubuntu, depois de instalado, pelos repositórios oficiais ou por meio do Canal de Pacotes Estáveis do Firefox, a interface continuou em inglês. Tentei instalar a extensão para o idioma português brasileiro, como fiz anteriormente, sem sucesso. Porém, ao acessar a página oficial da extensão, encontrei instruções para instalar uma outra extensão a fim de concluir a mudança.

Quanto ao impacto das últimas notícias, ainda não observei nenhuma mudança significativa na evolução do mercado de navegadores. A tendência de crescimento do Firefox e do Chrome, com a conseqüente queda do internet Explorer, não parece ter sido alterada no mês de janeiro:

O lançamento da versão 3.5.1, no dia 16 de julho, corrige a falha de segurança no JIT, descrita num post anterior. Sendo assim, a solução temporária lá descrita já pode ser revertida.

Quem fez a instalação por meio do repositório como sugerido no post já deve ter seu Firefox atualizado a essa altura, mas ele deve estar em inglês. Para traduzi-lo, basta desinstalar a versão antiga do plugin e instalar a nova. No caso do Ubuntu Jaunty, ele pode ser obtido aqui.

Usuários Windows também foram beneficiados por essa atualização com a correção da demora observada por alguns na inicialização do Firefox 3.5 naquela plataforma.

Atualização: alterado o endereço do plugin de idioma para apontar para a versão mais recente.

Descoberto por Renato Yamane como um vírus para Firefox, o ataque estende-se também ao internet Explorer e consiste basicamente em alterar as configurações do navegador direcionando o tráfego para um servidor proxy externo que captura informações relativas às transações bancárias.

Inicialmente, pensei que o problema tivesse alguma relação com a vulnerabilidade no Compilador JIT do Firefox 3.5, mas mudei de idéia ao observar que o internet Explorer também é atingido. De qualquer forma, o problema já consta no Bugzilla, resta aguardar por uma correção.

A boa notícia é que o malware foi facilmente descoberto ao gastar muito tempo localizando os arquivos de configuração do Firefox. Além disso, na versão atual, só funciona na plataforma Windows (sempre ela). Por outro lado, a maioria dos usuários certamente iria pensar que a demora seria “normal” e não tomaria nenhuma providência e o cracker certamente corrigirá esse detalhe de desempenho em versões subseqüentes.

Concluindo, com os ataques migrando para fora das máquinas dos usuários, como ocorrido em abril passado com o ataque aos servidores do Vírtua (provedor de banda larga da NET em São Paulo), já não há um navegador considerado “plenamente seguro” e torna-se necessário dar mais ênfase às medidas corriqueiras de segurança e à regra do desconfie de comportamentos estranhos em seu computador.

A versão 3.5 do navegador Firefox foi lançada no último dia 30 de junho e, além de mais veloz que as anteriores, apresenta um modo de navegação privada semelhante ao apresentado no Google Chrome e nas versões 7 e 8 do Internet Explorer.

Essa versão está disponível no site oficial mas eu prefiro fazer instalação por meio de repositórios — é mais fácil e permite a atualização automática pelo sistema. Contudo, como ela ainda não está disponível nos repositórios oficiais, optei por usar temporariamente a versão disponível no Launchpad.

O pacote é instalado paralelamente à versão oficial dos repositórios, ficando disponível para todos os usuários. Adicionalmente, como a versão presente nos repositórios oficiais (atualmente 3.0.12), continua instalada, quando eles forem atualizados, a versão 3.5 e suas atualizações serão obtidas pelo próprio sistema operacional.

O primeiro passo é adicionar o repositório adequado à sua versão do Ubuntu, como orientado pelo Ubuntued. Para o Jaunty Jackalope (9.04), por exemplo, o repositório é:

deb http://ppa.launchpad.net/ubuntu-mozilla-security/ppa/ubuntu jaunty main

Já a chave pode ser instalada pelo terminal com o seguinte comando (digitado numa única linha):

sudo apt-key adv --recv-keys --keyserver keyserver.ubuntu.com
af316e81a155146718a6fbd7a6dcf7707ebc211f && sudo aptitude update

Para outras versões, consulte o post original, bastante explicativo.

Em seguida, é feita a instalação da forma preferida:

• por meio do aptURL;
• por meio do Synaptic (menu Sistema > Administração > Gerenciador de Pacotes Synaptic); ou
• por meio do terminal, com o comando abaixo:
  sudo apt-get install firefox-3.5 firefox-3.5-gnome-support

O Firefox será instalado em inglês. Para traduzi-lo para português, basta instalar o plugin adequado. No caso do Jaunty, ele pode ser obtido aqui.

Usuários do Intrepid Ibex (8.10) e do Hardy Heron (8.04), entretanto, precisarão de alguns passos adicionais porque a versão disponível para eles é a 3.5.1pre. Basicamente, eles irão baixar o mesmo plugin mas, antes de instalá-lo, deverão abrir o arquivo e editar o arquivo install.rdf, como orientado por Hamacker.

É interessante editar os atalhos para o Firefox, alterando o comando firefox %u para firefox-3.5 %u. Também é possível alterar associação padrão, usando a opção Sistema > Preferências > Aplicativos preferenciais, como na figura abaixo:

Atualização: A falha de segurança citada acima foi corrigida na versão 3.5.1.

Atualização: Alterei o endereço do plugin de idioma para apontar para a versão mais recente.

O Firefox oferece a opção de memorizar senhas de acesso a sites. Essas senhas são, então, preenchidas pelo próprio navegador quando o usuário acessa qualquer página daquele site. A falha no sistema de gerenciamento de senhas permite que um cracker, ludibriando o navegador, obtenha as informações de autenticação do usuário. O risco é maior em sites que aceitam inserção de código, como fóruns, comentários em blogs, etc.

A falha não é exclusividade do Firefox, o internet Explorer também é afetado por ela, mas no Firefox a fragilidade é maior.

Enquanto não sai uma atualização, é aconselhável que não sejam armazenadas informações de autenticação nos navegadores (sugestão antiga, aliás).

Encontrei, num outro blog, três maneiras de tornar extensões antigas compatíveis com o Firefox 2.0 (em inglês). Cada uma delas tem vantagens e desvantagens. Mas, em todos os métodos, estamos forçando extensões que não foram desenhadas para esta versão, a funcionar com ela. Ou seja, é arriscado!

Considerando tudo, escolhi esta:

1. abri a página de configuração do Firefox, digitando about:config, na barra de endereços; e
2. criei a chave lógica (booleana) extensions.checkCompatibility com o valor falso (false).

Agora, o único incômodo é que a janela de complementos está cheia de avisos quanto a extensões incompatíveis… Paciência. À medida que as versões novas saírem essas marcas vão sumir. E, eventualmente, eu mudarei a chave lógica para verdadeiro (true), novamente…

A aparência está melhor e parece mais rápido, mas muitas das extensões que uso ainda não são compatíveis.

Para baixá-lo, clique aqui.

Apesar de a opção padrão ser inglês, o idioma português do Brasil já está disponível.