Falha na configuração do Internet Explorer permite acesso a dados

A vulnerabilidade afeta todas as versões do Internet Explorer, incluindo o IE 9, e todas as versões do sistema operacional Windows

Um pesquisador de segurança na computação encontrou um defeito no navegador Internet Explorer, da Microsoft, que segundo ele poderia permitir que hackers senhas de acesso ao Facebook, Twitter e outros sites. Ele definiu a técnica como "sequestro de cookies".

"Qualquer site. Qualquer cookie. O limite está em sua imaginação", disse Rosario Valotta, um pesquisador independente de segurança na Internet que trabalha na Itália.

Hackers poderiam explorar a falha para ganhar acesso arquivos armazenados pelo navegador e conhecidos como "cookies", alguns dos quais contém os nomes de usuário e senhas para uma determinada conta na Web, afirmou Valotta em mensagem de email.

Quando o hacker captura um cookie, pode usá-lo para ganhar acesso ao mesmo site, disse Valotta, que definiu a técnica como "sequestro de cookies".

A vulnerabilidade afeta todas as versões do Internet Explorer, incluindo o IE 9, e todas as versões do sistema operacional Windows.

Para explorar a falha, o hacker precisa persuadir a vítima a arrastar um objeto pela tela do computador, antes que o cookie possa ser sequestrado.

A tarefa parece difícil, mas Valotta disse que conseguiu realizá-la com certa facilidade. Ele criou um quebra-cabeças no Facebook que desafiava os usuários a "despir" a foto de uma mulher atraente.

"Coloquei o jogo no Facebook e em menos de três dias meu servidor recebeu mais de 80 cookies", disse. "E só tenho 150 amigos em minha lista."

A Microsoft afirmou que não existe grande risco de um hacker obter sucesso com uma trama de sequestro de cookies.

"Dado o nível de interação requerido do usuário, a questão não é vista por nós como de alto risco", disse Jerry Bryant, porta-voz da companhia.

"Para que seja afetado, um usuário precisaria visitar um site suspeito, ser convencido a arrastar itens pela página e o atacante teria de ter por alvo o coookie de um site ao qual o usuário estivesse conectado naquele momento", disse Bryant.

Fonte: Terra