Destaque

A Comissão Europeia lançou um programa que recompensa a detecção de bugs nos seus projectos Open Source que sustentam os seus serviços públicos. Os caçadores de recompensas de bugs poderão receber até 5.000€ (o equivalente a  5.600 dólares americanos) para encontrar vulnerabilidades de segurança em software de código aberto usado em toda a União Europeia (UE), incluindo LibreOffice, LEOS, Mastodon, Odoo e CryptPad. Este programa, liderado pela plataforma europeia de recompensas de bugs Intigriti, também oferecerá um bónus de 20% se uma correção de código para os bugs for fornecida pelos investigadores. Num comunicado divulgado a 19 de janeiro, a CE disse que está à procura de relatórios de vulnerabilidades de segurança, como a exposição de dados pessoais, escalação de privilégios horizontal/vertical e injeção de SQL. A maior recompensa será paga pela deteção de “vulnerabilidades excepcionais”. Este último programa surge no seguimento de um outro programa, denominado FOSSA, também da UE, que pagou mais de 220.000 dólares nos seus 18 meses de operação, e que foi anunciado como um “sucesso notável”. Em declarações ao The Daily Swig, Inti De Ceukelaire, chefe de hackers da Intigriti, disse que a parceria surgiu no ano passado, quando a Intigriti liderou um programa financiado pelo programa ISA2 da CE. “Estamos comprometidos em nutrir ainda mais o relacionamento com as comunidades de código aberto que estabelecemos nos últimos anos”, referiu o tester belga. “Pessoalmente, acredito que todos os órgãos governamentais devem ter e incentivar o uso de políticas de divulgação de vulnerabilidades e introduzir ou adotar leis inequívocas para apoiar a pesquisa de vulnerabilidades. As recompensas por bugs, entre outras iniciativas de crowdsourcing, são uma ótima maneira de incentivar isso.” De Ceukelaire ainda acrescentou: “Praticamente todas as organizações usam projetos de código aberto de uma forma ou de outra. Identificar e resolver vulnerabilidades de segurança nesses projetos tem um impacto em escala. O incidente do Log4j mostrou-nos que apoiar a segurança de projetos de código aberto amplamente utilizados é uma necessidade absoluta, por isso só podemos aplaudir essa iniciativa da Comissão Europeia.” O artigo original via The Daily Swig pode ser lido em: https://portswigger.net/daily-swig/european-commission-launches-new-open-source-software-bug-bounty-program

Um bug de software introduzido na implementação da API IndexedDB do Apple Safari 15 pode ser abusado por um site malicioso para rastrear a atividade online dos usuários no navegador da web e, pior, até revelar sua identidade. Esta vulnerabilidade, apelidada de IndexedDB Leaks, foi divulgada pela empresa de software de proteção contra fraudes FingerprintJS, que relatou o problema ao fabricante do iPhone em novembro de 2021. A IndexedDB é uma interface de programação de aplicativos (API) JavaScript de baixo nível, fornecida por navegadores de Web para gerenciar bancos de dados NoSQL de dados estruturados, como arquivos e blobs. “Como a maioria das soluções de armazenamento na Web, o IndexedDB segue uma política de mesma origem”, segundo a documentação da API da Mozilla. “Assim, embora seja possível acessar dados armazenados num determinado domínio, não se pode ter acesso a dados em domínios diferentes.” A política da mesma origem é um mecanismo de segurança fundamental que garante que os recursos recuperados de origens distintas — ou seja, uma combinação do esquema (protocolo), host (domínio) e número da porta de uma URL — sejam isolados uns dos outros. Isso significa que “http[:]//example[.]com/” e “https[:]//example[.]com/” não são da mesma origem porque usam esquemas diferentes. Ao restringir a forma como um script carregado por uma origem pode interagir com um recurso de outra origem, a ideia passa por sequestrar scripts potencialmente maliciosos e reduzir possíveis vetores de ataque, impedindo que um site não autorizado execute código JavaScript arbitrário para ler dados de outro domínio, isto é, um serviço de e-mail. No entanto, este não é o caso de como o Safari lida com a API IndexedDB no iOS, iPadOS e macOS. “No Safari 15, no macOS, e em todos os navegadores no iOS e iPadOS 15, a API IndexedDB está a infringir a política de mesma origem”, disse Martin Bajanik num artigo. “Sempre que um site interage com um banco de dados, um novo banco de dados (vazio) com o mesmo nome é criado em todos os outros frames, guias e janelas ativas na mesma sessão do navegador.” Uma consequência desta violação de privacidade é que permite que os sites saibam quais outros sites um usuário que está a visitar, em diferentes guias ou janelas, concretamente, identificar com precisão os usuários nos serviços de serviços do Google, como YouTube e Google Agenda, pois esses sites criam bancos de dados IndexedDB que incluem o IDs de usuário do Google autenticados – um identificador interno que identifica exclusivamente uma única conta Google. “Isto não implica apenas que sites não confiáveis ou maliciosos podem conhecer a identidade de um usuário, mas também permite vincular várias contas separadas usadas pelo mesmo”, acrescentou Bajanik. Para piorar a situação, este leak também afeta o modo de navegação privada no Safari 15, caso um usuário visite vários sites diferentes na mesma guia na janela do navegador. “Este é um bug enorme”, twittou Jake Archibald, defensor do desenvolvedor do Google Chrome. “No OSX, os usuários do Safari podem (temporariamente) mudar para outro navegador para evitar que seus dados vazem entre as origens. Os usuários do iOS não têm essa escolha, porque a Apple impõe uma proibição a outros mecanismos de navegador.” O artigo original via The Hacker News pode ser lido em: https://thehackernews.com/2022/01/new-unpatched-apple-safari-browser-bug.html

Um novo script não funcionou corretamente, e excluiu 34 milhões de arquivos do supercomputador da universidade japonesa, alguns dos quais não podem ser recuperados por backups. No dia 16 de dezembro, a Universidade de Kyoto começou a investigar um problema causado por uma atualização de software da Hewlett Packard Enterprise (HPE). Foi descoberto que aproximadamente 77TB de arquivos, de 14 grupos de investigação foram excluídos nos dois dias anteriores. Ainda que universidade tenha admitido que entrará em contato com os afetados, a própria HPE assumiu total responsabilidade, e disse que a atualização do sistema de supercomputador da Universidade japonesa foi originalmente projetada para “melhorar a visibilidade e a legibilidade”, excluindo arquivos de log com mais de 10 dias. Segundo o comunicado emitido, a empresa norte-americana admite que houve uma “falta de consideração” no procedimento de liberação do novo script, e que não estava ciente de quaisquer potenciais efeitos colaterais aquando da sua aplicação. Isso fazia com que um script fosse sobrescrito enquanto ainda estava em execução, “resultando em variáveis indefinidas” que faziam com que os arquivos de log originais no supercomputador fossem excluídos “em vez de excluir o arquivo [log] salvo no diretório”.  A HPE acrescentou ainda que irão ser tomadas que medidas para garantir que o problema não volte a ocorrer no futuro, incluindo a verificação de atualizações antes da aplicação e reeducação dos engenheiros responsáveis pela prevenção de riscos e erros humanos. A Universidade de Kyoto é a segunda universidade mais antiga do Japão, fundada em 1897. É uma das principais instituições orientadas para a pesquisa do Japão e produziu vários vencedores do Prêmio Nobel. A própria Microsoft enfrentou , também, um problema de software no início do ano, quando seus servidores Exchange pararam de funcionar corretamente quando o relógio bateu meia-noite na véspera do Ano Novo. Os servidores não conseguiram acomodar o ano de 2022, o que levou alguns a chamá-lo de bug Y2K22. O artigo original via Silicon Republic pode ser lido em: https://www.siliconrepublic.com/enterprise/software-error-causes-34m-research-files-to-be-lost-at-kyoto-university