Geek | Falha no Internet Explorer permite o vazamento de 50 milhões de arquivos confidenciais

A Microsoft está investigando o caso, mas já afirma não se tratar de uma vulnerabilidade.

Por Matheus Gonçalves

Um pesquisador da área de segurança afirmou esta semana que uma falha de segurança no navegador da Microsoft pode permitir o acesso não autorizado a dados provativos de seus usuários. Os dados seriam armazenados em arquivos PDF. Mais de 50 milhões de PDFs com conteúdo confidencial estão armazenados online.

Segundo o site The Register, documentos salvos no formato PDF diretamente no Internet Explorer, armazenam também o local do disco em que o arquivo foi gravado e outras informações. Isso caracteriza um descuido que pode inadvertidamente expor nomes reais de servidores, identificações de login dos usuários, o sistema operacional utilizado e outras informações consideradas pelos especialistas passíveis de uma maior proteção.

Uma busca simples em motores de busca pode revelar os dados.

Uma pesquisa no Google por termos como “filetype:pdf file c (htm OR html OR mhtml)” (como no link bit.ly/6OflPd) é capaz de exibir o caminho exato onde determinados arquivos foram criados. A exposição do exemplo chega a atingir 4 milhões de documentos.

Código mostra área onde informação é salva no PDF. (Créditos: SecureThoughts.com)

Inferno, como prefere ser chamado o pesquisador do blog SecureThoughts explica que documentos ‘impressos’ em PDF, a partir do IE, usando ferramentas como Adobe PDF, CutePDF, e similares, inserem uma linha de registro no arquivo que guarda as informações do computador local.

“Se usuários do IE criaram esse tipo de PDF, alguém pode facilmente fazer uma pesquisa na Web e encontrar usernames ou descobrir informações sobre os sistemas operacionais usados. Isso realmente é uma invasão de privacidade” – disse Inferno.

Para ilustrar, o PDF armazenado no link bit.ly/PDFTest foi salvo na pasta C:\Program Files\Wids7\WizardReport.htm no momento da criação.

A única maneira de remover a informação é manualmente, abrindo o PDF em um editor, apagando a linha e salvando o arquivo novamente.

Todas as versões do IE são afetadas pela falha.

Uma porta-voz da Microsoft disse que os engenheiros da empresa estão trabalhando para reproduzir o comportamento relatado, mas nega que ele seja um problema. “Podemos confirmar que esta não é uma vulnerabilidade”, afirmou a funcionária. Representantes da Adobe não quiseram se manifestar.

Karmômetro (?)

tende a bom

não, não é uma vulnerabilidade, é pra ser assim mesmo, não vemos nenhum problema em que os usuários sejam expostos, kkkk essa ganhou a palma de ouro da sonsice e o oscar da cara de pau

Postado por joao lellis em 23/11/2009 21:24

Realmente não é vulnerabilidade, é falha mesmo. rsrsrsrsrs

Com o Firefox comendo memória que nem um louco, o Chrome abrindo um “chrome.exe” (nos processos do pc) a cada aba aberta aumentando consideravelmente o consumo… ficamos a pé de navegadores.
Lamentável isto.

Postado por Prog Metal em 24/11/2009 09:14

hum… então essa é a falha dessa semana.

Postado por Flávio Gomes Coutinho em 24/11/2009 09:53

“Podemos confirmar que esta não é uma vulnerabilidade”,
afirmou uma Porta-voz da Microsoft.
kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk
como diz o @JuLiOOXX tá né, e eu sou o bozo! heaIOHEAuiheaue!!
vai enganar outros trouxas nós não!!

Postado por Felipe Borcard em 24/11/2009 10:07

“Podemos confirmar que esta não é uma vulnerabilidade”, então é o que? Internet explorer é um browser democrático, vc pode navegar onde quiser e em compensação outros podem navegar onde quiser na sua máquina.

Postado por Fernando em 24/11/2009 10:58

Eu não entendi a afirmação “Podemos confirmar que esta não é uma vunerabilidade”: baseado em que ele me confirma que divulgar a estrutura de diretórios e outras informações do servidor que hospeda um arquivo pdf não resulta em falha de segunraça?

A afirmação é no mínimo absurda, e a falha gravíssima

Postado por Diego de Souza Silva em 24/11/2009 11:04

Diego, a Microsoft pode querer jogar a culpa nos sistemas de busca. Ou na estrutura de arquivos PDF, jogando a bomba na mão da Adobe.

O problema é: Se você criar o arquivo pelo Firefox, não exibe os dados. É retirada essa informação por padrão. Logo….

Postado por Matheus Gonçalves em 24/11/2009 14:01

tende a neutro

Esse é o jeito Microsoft de criar aplicativos.

Eles, ainda por cima, chegam a dizer que uma vulnerabilidade deste nível não é um problema. Imagine a qualidade das milhões de linhas de código do Windows…

Essa Microsoft viu.

Postado por Vinícius Vieira Marques em 25/11/2009 10:46

OBS: Quando disse “esse é o jeito Microsoft de criar aplicativos”, não me referi ao Adobe Reader, este, claro, da Adobe. Me referi ao Internet Explorer que, pela notícia, é quem provoca a falha.

Postado por Vinícius Vieira Marques em 25/11/2009 10:48

Obrigado Matheus Gonçalves, sendo assim até que é faz algum sentido tacar a falha para a Adobe, embora a Microsoft tenha parcela na culpa…

Postado por Diego de Souza Silva em 25/11/2009 11:18

Já desencanei do navegador da microsoft.. Mesmo em ambiente windows utilizo outro..

Postado por tilt em 25/11/2009 11:18

Ha hahahaha, tudo gira en torno do dinheiro, ganância, espiões, pra que serve mesmo essa porcaria de internet explorer.

Postado por Luiz em 25/11/2009 13:29

Microsoft divulga proteção para falha em Internet Explorer 6 e 7

A Microsoft divulgou na noite da última segunda-feira (23/11) um boletim de segurança que guia os usuários a agirem em relação ao erro que atinge o Internet Explorer e foi revelado no final de semana.

A empresa garante que a falha, que atinge as versões 6 e 7 do navegador da Microsoft, não foi explorada por invasores até agora.

O boletim de segurança 977981 inclui soluções para a falha que permite execução de código remoto por um problema no Cascading Style Sheets (CSS). Esse tipo de vulnerabilidade resulta em correções consideradas críticas pela Microsoft.

A falha atinge o IE 6 no Windows 2000 Service Pack e tanto o IE 6 quando o IE 7 nos sistemas operacionais Windows XP, Vista, Server 2003 e Server 2008. A Microsoft disse que usuários que rodam o IE 7 no Vista podem configurar o navegador para rodar no modo de proteção para diminuir o impacto da vulnerabilidade.

Outra recomendação é ajustar a zona de segurança da Internet para “alta”, já que esse modo desativa JavaScript, que é a única forma de ataque confirmada até o momento.

O Internet Explorer 5.01 Service Pack 4 e o Internet Explorer 8 em todas as versões de Windows não são afetados.

A Microsoft não revelou se incluirá uma correção para o erro no próximo pacote mensal de atualizações de segurança, o Patch Tuesday, previsto para o dia 8 de dezembro.

Postado por Luiz em 25/11/2009 13:32

kkkkkkkkkkkkkkkkkkkkkkkkkkk
a microsoft se superou falar q isso nao e uma falha
e mais facil acreditar q a grana do Arruda era pra panetone

Postado por Marcus red em 19/01/2010 02:29

I think the concept developed in this article is definately interesting. It has got my creative juices flowing.

Postado por Foreclosure Help in Idaho em 07/12/2010 01:39

Coletivos

Busca

Últimos posts

Blogs do Geek Central

MasterTags:

Falha no Internet Explorer permite o vazamento de 50 milhões de arquivos confidenciais

Karmômetro (?)

Comentários

Karmômetro (?)

Karmômetro (?)

Karmômetro (?)

Karmômetro (?)

Karmômetro (?)

Karmômetro (?)

Karmômetro (?)

Karmômetro (?)

Karmômetro (?)

Karmômetro (?)

Karmômetro (?)

Karmômetro (?)

Karmômetro (?)

Karmômetro (?)

Karmômetro (?)

Postar um novo comentário

Digerati - uma empresa do Grupo Domo.