| CAIS-ALR-21022000Recentes vunerabilidades envolvendo código HTML [CAIS, 21.02.2000, revisão 01] Resumo Este alerta trata de problemas relacionados ao uso de códigos HTML considerados maliciosos. A maioria dos navegadores web possuem a capacidade de interpretar scripts embutidos em páginas web. O problema está relacionado ao uso impróprio destes scripts. Motivação Considerando que no uso da Internet as ferramentas de navegação web são fundamentais, o CAIS pretende com este alerta esclarecer os administradores e usuários sobre formas de evitar maiores danos. Impacto O usuário pode, sem saber, executar um script escrito com fim danoso, tal script pode permitir ao atacante acesso a informações da vitima. Entre os possíveis ataques podemos citar o redirecionamento de conexões SSL, a presença de cookies contaminados na maquina da vitima, o possível acesso à intranet através de acesso a informações armazenadas em cache, a alteração de políticas de segurança de acesso do navegador, o uso de uma configuração de caracteres não usuais e a possível modificação de formulários e de seus resultados. Detecção A detecção deste tipo de ameaça é muito difícil pois envolveria o debug do código presente nas paginas web. No entanto, existem soluções a fim de prevenir a utilização de tais códigos. Proteção Nenhuma das soluções apresentadas para os usuários de navegadores pode ser considerada completa e segura. A solução deste problema cabe aos desenvolvedores de paginas web. Usuários podem, no entanto, reduzir o risco de serem atacados com duas opções básicas. Primeiramente desabilitar o uso de linguagens script no navegador. Tal ato pode no entanto prejudicar a própria navegação, com a diminuição desta funcionalidade. Esta solução garante ao usuário o menor grau de exposição a esta vulnerabilidade. Uma segunda alternativa é selecionar os locais de navegação considerados seguros. Esta alternativa preserva a funcionalidade de scripts mas não garante um grau de segurança significativo. Maiores informações sobre como desativar a funcionalidade de script em navegadores podem ser obtidas em: http://www.cert.org/tech_tips/malicious_code_FAQ.html Desenvolvedores de páginas e administradores podem evitar que seus sites sejam utilizados garantindo que as páginas dinamicamente geradas não contenham caracteres indesejáveis. A remoção de meta caracteres considerados perigosos pode deixar uma série de riscos. Os desenvolvedores são encorajados a restringir variáveis usadas na construção de páginas bem como setar valores apropriados para os conjuntos de caracteres utilizados nas páginas dinamicamente geradas. A codificação e filtragem de dados é fundamental para se lidar com esta vulnerabilidade sendo um assunto de abordagem complicada. Maiores informações podem ser obtidas em: http://www.cert.org/tech_tips/malicious_code_mitigation.html Referências http://www.cert.org/advisories/CA-2000-02.html | Contato com o Cais: +55 (19) 3787-3300 |