Foi divulgado no final de junho uma nova vulnerabilidade que afeta os navegadores Firefox e Safari. Uma correção para essa vulnerabilidade está prevista para a versão 3.6.7 do navegador Firefox, mas ainda não há nenhuma previsão de correção para o Safari (um novo post avisará da disponibilidade da atualização).
Descrição
A falha está na forma como o Firefox e o Safari mostram o endereço visitado na barra de endereços enquanto está carregando uma nova página – ambos mostram o endereço de destino mesmo sem ter carregado e exibido completamente a página.
Eu testei pessoalmente os navegadores Firefox, Safari e Chrome para Mac OS X e o único que não sofre como esse problema é o Chrome. O Chrome mostra na barra de endereços “about:blank” enquanto carrega o conteúdo, para então alterar o endereço quando a página estiver completamente carregada.
Abaixo você pode ver os resultados dos testes.
Safari
O navegador da Apple mostra um endereço que não existe e já mostra um conteúdo (falso). O conteúdo falso pode ser usado para aplicar um golpe no usuário.
Depois de um certo tempo, o Safari mostra que não conseguiu carregar a página do endereço que está na barra de endereços, mas aí já pode ser tarde.
Firefox
O caso do Firefox me pareceu um pouco pior, pois ele pode ser controlado para nunca tentar carregar o endereço. O usuário pode nunca perceber que o conteúdo é falso!
Chrome
O Chrome foi o único que não mostra o endereço falso. Quando finalmente desiste de carregar o endereço que não existe, mostra uma página de erro assim como o Safari.
Impacto
A forma como os navegadores Firefox e Safari mostram os endereços na barra de endereços pode levar a um tipo de ataque conhecido como “Spoofing”, ou seja, o usuário pode pensar que visita uma página de um site confiável, mas a página apresentada não pertence àquele site. A página pode pertencer a criminosos que estão tentando roubar informações, como conta e senha de banco ou instalar malwares.
Solução
Manter os software instalados no seu Mac sempre atualizados. O Firefox estará corrigido quando lançarem a atualização 3.6.7 (a atualização disponível no momento é a 3.6.6).
Infelizmente não existe até o momento (6 de julho) uma atualização disponível para o Safari. Enquanto isso recomenda-se clicar apenas em links de sites confiáveis e utilizar software que protejam o Mac de malwares.
Referências
NIST National Vulnerability Database: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-2454
Icamtuf’s blog: http://lcamtuf.blogspot.com/2010/06/yeah-about-that-address-bar-thing.html