quarta-feira, 19 de setembro de 2007

Linden Lab reconhece falha de segurança no Internet Explorer

Com repercussão imediata, gestora do Second Life faz recomendações aos seus usuários e promete nova versão do navegador, que anula a brecha de segurança do MSIE. Protocolo "secondlife://" poderá ser abolido.

No mesmo dia em que anunciamos uma falha grave de segurança no Internet Explorer, no qual uma página de internet maliciosa poderia expor a senha de acesso dos usuários do Second Life, a Linden Lab postou um comunicado oficial em seu blog, reconhecendo a existência do problema e fazendo algumas recomendações aos seus residentes.

Em um primeiro momento, a Linden recomenda que ninguém clique em links iniciados pela tag "secondlife://" através do Internet Explorer. Fala também que, em caso do browser Second Life ser iniciado inadvertidamente, que o residente feche de imediato o programa e que siga para o website oficial SL, onde deverá proceder com a troca da sua senha. A Linden Lab também recomenda desabilitar qualquer opção que faça com que o Internet Explorer 'lembre sua senha', em qualquer local ou site que exija dados de acesso ao Second Life, principalmente em cybercafés do mundo real.

A empresa assume que o Internet Explorer está programado para interpretar a tag "secondlife://", como um 'ativador' no seu programa principal de navegação, e lamenta que hackers tenham explorado este recurso como 'engenharia reversa' para roubarem dados confidenciais, através de técnicas de programação voltadas à web. A Linden Lab informa também que está para lançar uma nova versão do seu navegador (1.18.2.1), o que deve ocorrer em uma semana. Esta versão interrompe a ação destes sites maliciosos, fazendo com que o navegador passe a não enxergar mais a tag "secondlife://". A Linden pretende, inclusive, abolir a interpretação desse protocolo por parte de seu sistema.

Em outra parte do comunicado, a empresa informa em um breve resumo como proceder com a desabilitação do protocolo "secondlife://". Contudo alerta que é um procedimento de risco, feito no Registro do Windows, e que deve ser feito por alguém com experiência intermediária no sistema operacional. Para evitar problemas com nossos leitores, optamos em não repassar a tradução das instruções. Caso queira saber como fazer, clique neste link e verifique na sessão "another workaround".

O blog oficial fez uma relação de vulnerabilidades em outros sistemas e navegadores aos quais o Second Life opera e se comunica:
  • Second Life 1.18.2.0 (e anteriores): vulnerável;
  • SL para MacOSX: não responde ao comando malicioso;
  • SL para Linux: não responde ao comando malicioso.
  • Internet Explorer 4-7: vulnerável;
  • Firefox 1-2: não responde ao comando malicioso;
  • Opera x-7: não testado.
Com informações do Official Linden Blog.

Nenhum comentário: