Google+ tem encerramento antecipado após nova falha de segurança

1_google_logo

A Google anunciou uma nova data para o encerramento das atividades de sua rede social Google+, após uma nova falha de segurança comprometer os dados de 52 milhões e meio de usuários.

A previsão anterior era de que a empresa deixasse de fornecer o acesso à rede social a partir de agosto de 2019. Porém, após a violação em massa de dados ocorrida recentemente, este prazo foi antecipado para abril de 2019.

De acordo com o anúncio oficial, uma atualização da plataforma, implementada em novembro deste ano, introduziu um bug na API da Google+ que impactou negativamente os usuários. A falha foi descoberta durante os testes recorrentes conduzidos pela empresa, e corrigida uma semana após ter sido introduzida.

O bug permitia que aplicações que requisitavam permissão de visualização de dados destes usuários, tais como nome, endereços de e-mail, ocupação e idade, tivessem acesso a estas informações mesmo que os usuários as tivessem configurado como privadas.

Da mesma forma, informações de perfil que foram compartilhadas entre os usuários da Google+ também puderam ser acessadas por estas aplicações, mesmo que estes tenham marcado tais informações como sendo não públicas.

A empresa ressalta que, embora estes acessos tenham ocorrido, informações como dados financeiros, senhas, números de identidade, entre outros, não foram comprometidos pela falha.

Para maiores informações, acessem o comunicado oficial da empresa, em inglês, através deste link.

Chrome 71 lançado com novas características de segurança

google-chrome

Uma nova versão do navegador de código aberto Chrome foi lançada pela Google, e traz com ela novas características de segurança. Além de corrigir 43 vulnerabilidades de segurança, a versão 71 deste navegador apresenta funcionalidades que visam proteger os usuários contra propagandas abusivas, áudios indesejados e de toque automático, entre outras.

Os bloqueios de propagandas tem por objetivo impedir a visualização de conteúdo que promovam malwares, tenham áreas de clicks escondidas, falsos ponteiros de mouse, redirecionamentos de páginas não-interativos, phishings, entre outras formas de utilização maliciosa destes anúncios.

Sites com conteúdo que leve a cobranças indevidas também são alvo das melhorias na proteção do navegador. Quando estes sites forem identificados, um alerta será mostrado ao usuário, indicando que este destino pode tentar realizar cobranças indevidas. Páginas que usam esse tipo de artifício geralmente solicitam aos usuários que insiram dados como números de celular, e com isso permitem o acesso a jogos por exemplo. Porém, com isso, os usuários são inscritos em assinaturas das quais tem dificuldades em se livrar.

As versões para desktops GNU/Linux, Windows ou MacOS já estão disponíveis, e podem ser instaladas ou atualizadas através do próprio navegador, acessando o menu configurações > ajuda > Sobre o Google Chrome, e o browser vai verificar automaticamente a existência de novas atualizações. As versões para dispositivos móveis ainda não foram disponibilizadas, mas espera-se que isso seja feito durante as próximas semanas.

Atualizações de segurança liberadas para o Kubernetes

Kubernetes

Anunciadas nesta segunda-feira, três novas versões do sistema de orquestração de contêineres foram liberadas para corrigir uma falha crítica de segurança. Jordan Liggitt, engenheiro sênior junto ao Google divulgou as versões 1.10.11, 1.11.5 e 1.12.3, em uma postagem na lista de anúncios do Kubernetes, junto ao Google Grupos.

Com uma severidade de 9.8 em uma escala de 10, a CVE-2018-1002105 é uma vulnerabilidade que permite a escalação de privilégios em sistemas que utilizem este orquestrador. Tamanha classificação foi dada pois a vulnerabilidade pode ser explorada remotamente, o ataque não é complexo, e não são requeridas interações de usuário ou privilégios especiais.

De acordo com Jordan, um usuário poderia usar a API do servidor Kubernetes para conectar-se a um servidor backend e enviar requisições arbitrárias autenticado pelas credenciais TLS da API do servidor. A falha foi detectada por Darren Shepherd, arquiteto chefe e co-fundador da Rancher Labs.

O Red Hat Openshift, plataforma mantida pela Red Hat, também teve correções liberadas para todas as versões de seu produto. Segundo Ashesh Badani, vice-presidente e gerente geral do Openshift junto à companhia, a vulnerabilidade pode “não só permitir o roubo de dados sensíveis ou a injeção de código malicioso, mas pode também derrubar aplicações e serviços em redes de produção internas aos firewalls”.

A vulnerabilidade é particularmente problemática porque requisições não autorizadas não são facilmente detectadas. Ainda de acordo com Liggitt, estas rquisições não aparecem nos logs do servidor, e nem tão pouco nos logs de auditoria da API do servidor Kubernetes. Requisições maliciosas são visíveis nos logs kublet ou API agregada do servidor, porém não há nada que as diferencie das requisições legítimas ou encaminhadas através da API do servidor Kubernetes.

É altamente recomendável a aplicação das correções de segurança disponibilizadas para estes produtos, especialmente se estes são utilizados em redes de produção.

Para acessar o conteúdo original desta reportagem, em inglês, acessem o site The Register.