четверг

IE em risco Bug Unpatched Nova

Código de exploração de uma vulnerabilidade não corrigida no Internet Explorer da Microsoft está circulando, uma empresa de segurança nesta sexta-feira, mas o perigo continua a ser baixa como a crise atual só trava o navegador.

Totalmente atualizado Windows XP SP2 e Windows 2000 SP4 sistemas são abertos ao novo ataque, disse David Cole, diretor de segurança da Symantec grupo. "Este é o código de prova de conceito, não vimos qualquer exploits ativos", disse Cole. "Se ela cresce em algo maior está fortemente ligada a se começar a execução remota de código [recursos]", acrescentou.

A notícia chega apenas três dias após a Microsoft ter liberado suas atualizações de segurança mais recentes. Na terça-feira, no entanto, o navegador da empresa não foi corrigida, uma correção de Agosto, que acabou sendo lançado três vezes diferentes, mais recentemente, esta semana, foi a última atualização do IE.

Não há nenhum patch disponível para o bug, que a Microsoft admitiu que está investigando. Em um boletim de segurança emitido quinta-feira, o Redmond, Washington desenvolvedor disse que iria lançar um patch ou na sua atualização mensal regular-programado, ou como um fora-de-fix-ciclo. Windows Server 2003 não está em risco.

O problema novo IE está relacionado a um controle ActiveX (Microsoft DirectAnimation Path), que faz parte do daxctle.ocx "objeto COM. Um invasor que explorar com êxito a vulnerabilidade poderia seqüestrar o computador, a Microsoft reconheceu, sem qualquer interação do usuário uma vez tinham sido atraídos para um site malicioso.

Microsoft ActiveX controles remendado várias vezes no ano passado, os atacantes descobriram que o Windows não foi devidamente verificação para ver se os dados passados para controles, dentro dos parâmetros permitidos. No caso do código de prova de conceito agora disponível, JavaScript transmite dados inaceitável para o controle, que então resulta em um estouro de pilha.

Cole disse que não foi um choque que ActiveX continua a ter problemas. "O [mais funcionalidade em code], o mais provável que haja um erro na mesma", disse ele. "A complexidade é a inimiga da segurança. É um problema difícil de resolver. Desenvolvedores tentam equilibrar a funcionalidade com a segurança do rico".

Mesmo que o real explorar in-the-wild "não ter sido visto, algumas organizações de segurança soou o alarme. Dinamarquesa Secunia, a vulnerabilidade tracker, por exemplo, classificou a falha do IE como "extremamente crítica, é advertência mais séria.

Com um patch disponível, a Symantec recomenda que os usuários confira o conselho da Microsoft, que incluiu a definição de "kill bit" no controle ActiveX para desativá-lo. Isso, no entanto, exige que os usuários de editar o Registro do Windows, algo que muitos não estão preparados para fazer. No passado, as sugestões da Microsoft em conjunto específico kill bits foram tomados por pesquisadores de terceiros, que têm dobrado a ferramentas automatizadas para desligar o controle.

Outra tática, disse que a Microsoft, é desabilitar todos os controles ActiveX no Internet Explorer na caixa de diálogo que aparece após selecionando Ferramentas | Opções da Internet.

Internet Explorer 7, que a Microsoft vai lançar ainda este ano para Windows XP (e no início do próximo pacote com Windows Vista), pode bloquear as vulnerabilidades similares no futuro, disse Cole. "Há alguns sinais promissores", disse Cole, "mas acho que o IE 7 vai eliminar todas essas vulnerabilidades é ignorar a história da segurança informática."

De fato, há sinais crescentes de que os atacantes podem em breve alvo de aplicações Web 2.0 escrito em Ajax. Entre os sites baseados em Ajax e serviços, Cole contados a popular rede social MySpace, bem como novas versões de Web-based e-mail da Microsoft e da Yahoo.

"Estamos já viu um pouco de interesse", disse Cole. "O worm MySpace, e worm que atacou o Yamanner Yahoo Mail [em junho]. Eles não estão sendo explorados desenfreadamente, mas não é Ajax sendo usado generalizada.

"Nós vamos descobrir muito mais sobre como a vulnerabilidade Ajax está em um futuro não muito distante."

Web Fonte - Tech

вторник

É o que acontece quando você dá seu cartão de crédito a um operador de call center na Índia

Um funcionário do call center foi preso no leste da Índia por supostamente usar cartões de crédito dos clientes E.U. detalhes para fazer compras online.

Sulagna Ray, 23, foi acusado de obter as informações do cartão de crédito, enquanto a venda E.U. clientes um serviço de televisão como parte de seu trabalho, o Times of India noticiou sábado.

Ray, um aspirante a designer de moda, alegadamente gasto 4.000 dólares (3.122 €) usando cartões de outras pessoas de crédito para comprar um ar-condicionado, microondas, cosméticos, saris, jóias e chocolate.

O roubo foi descoberto quando uma empresa sediada na Califórnia, Syssoft Corp, queixou-se das compras fraudulentas feitas através do seu site de comércio eletrônico, o vice-comissário de polícia em Kolkata, Gyanwant Singh, disse ao jornal.

Ray trabalhou para Jaishree Infotech, uma empresa indiana manipulação trabalhar para outro site de comércio eletrônico E.U..

A polícia rastreou a mulher através do site indiano a partir do qual ela havia comprado os produtos. É fornecido endereço das mercadorias de entrega.

Ray apareceu na corte sexta-feira.

Em junho de polícia, no pólo tecnológico de Bangalore preso um funcionário do gigante bancário HSBC global por alegadamente ter £ 230.000 (€ 333.000, 418.500 dólares) a partir de 16 contas bancárias de cidadãos britânicos.

Nos últimos anos, muitas empresas estrangeiras têm mudado trabalho dos call centers para a Índia para poupar custos, mas tem havido uma crescente preocupação com possíveis fraudes.

Copyright © 2006 Agence France Presse.

Sing mit der Elvis-Robot