asf@web

Após a crise deflagrada pela Operação Aurora, França se junta a Alemanha e recomenda também a adoção de um navegador diferente do Internet Explorer da Microsoft.

France joins Germany in call to dump IE – V3.co.uk

Dica de leitura: Segurança e Microsoft (Linux Magazine)

Tire as suas próprias conclusões. Eu por exemplo sugiro alterar a última frase de:

“Ou migre para Linux! É mais fácil e custa menos.”

Para:

Ou migre para alguma plataforma que não apresente problemas crônicos que beiram a inviabilidade. Duas opções excelentes são o Mac ou o PC com Linux.

Charlie Miller diz que encontrou uma pontencial vulnerabilidde na versão mais recente do firmware do iPhone.

Diferente das versões anteriores, a versão do firmware atual não permite a execução de código de shell em um iPhone não modificado (‘jailbroken’), por razões óbvias de segurança. No entanto Miller diz que encontrou uma maneira de enganar a proteção existente para executar código que habilitaria o recurso. Depois disso seria possível a execução de qualquer coisa, à escolha do freguês.

No entanto para que a exploração seja viávvel ainda é necessário encontrar uma brecha de segurança em algum software embarcado no iPhone que permita a execução do código malicioso para habilitar o recurso, coisa que Miller ainda não sabe como realizar.

Entre os feitos de Charlie Miller estão a descoberta da primeira falha de segurança no iPhone e as explorações de segurança no browser Safari para Mac nos concursos Pwn2Own.

Leia mais sobre o assunto em:

1. Researcher finds possible bug in iPhone – Macworld
2. Safari Charlie finds possible iPhone OS vulnerability – Ars Technica

Fonte: Infog

Parece que a MS continua insistindo em colocar os desenvolvedores do Paint para escrever a camada de segurança do Windows, ou então a empresa de Ballmer não consegue mesmo é abandonar o velho hábito do “apenas bom o suficiente para ser lançado“.

A mais nova vítima é a funcionalidade que supostamente deveria trazer mais segurança para o sistema. Estou falando da irritante UAC, agora personalizável. Isso mesmo!

Justamente na nova UAC personalizável que reside o problema.

Trata-se de um erro primário (mais um?) de concecpção, leiam: Microsoft Insists Windows 7 UAC Flaw Is Not a Vulnerability, OSNews

Respondendo às críticas a MS se saiu com essa: “This is not a vulnerability. The intent of the default configuration of UAC is that users don’t get prompted when making changes to Windows settings. This includes changing the UAC prompting level.“

Bem, pelo menos espera-se que tal afirmação seja apenas a opinião do pessoal do marketing. Caso contrário, como diz o OSNews, se a gigante realmente acredita nessa premissa de segurança (não me surpreenderia em nada), então ela está verdadeiramente em apuros.

Risível!

Leia tembém: Windows 7 (3)

Inspirado no post “Visualizando o boot do Linux” (do Nelson Biagio para o Blog.MacMagazine) resolvi resgatar duas imagens igualmente interessantes.

São os mapas completos das chamadas do sistema necessárias para a carga de uma única página HTML contendo uma única figura, tanto em Linux quanto em Windows.

Confira:

Linux executando Apache

Windows Server executanto IIS.

De uma maneira geral quanto maior o número de chamadas do sistema, maior o potencial de vulnerabilidades e maior o esforço para torna a aplicação segura.

Obs: As imagens são um pouco antigas e infelizmente não conseguir identificar as versões dos softwares utilizandos.

Descoberta a primeira falha grave de segurança no Google Android.

Porém devido a maneira como o sistema foi construído, onde cada aplicação é executada em sua própria sandbox (diferente do que ocorre com outros smartphones modernos como iPhone, por exemplo), há limitações quanto a possibilidade de estrago em caso de invasão ao sistema. Ou seja, o invasor está limitado ao espaço de uma única aplicação.

Porém algumas aplicações são pontencialmente sensíveis no quesito segurança, uma delas é o navegador da web.

Também devido ao modelo de desenvolvimento adotado a versão open source foi rapidamente corrigida. Agora a Google trabalha em conjunto com os parceiros HTC e T-Mobile para corrigir a falha no G1.

Leia mais sobre o assunto no artigo do John Markoff para o NYT.

Agora parece que o negócio desandou mesmo: Nova brecha de segurança poderá abrir Windows Vista para o mundo, irreversivelmente – Blog.Macmagazine

“…a genialidade da coisa é que ela é totalmente reutilizável. Eles foram capazes de realizar ataques que possibilitam carregar conteúdos específicos em localidades escolhidas e com as permissões desejadas. Isso representa fim de jogo, completamente.” (Dino Dai Zovi)