Fórum Brigadeiro Nero Moura

Voces devem achar que eu odeio o FF, mais não é verdade. Eu apenas não gosto de esquentar a cabeça. Reinstalar esse treco todo (plugins)depois de uma formatação is phoder. Muito menos ficar atualizando plugins com problemas.

Mais confesso que fiquei surpreso com essa tal de Bit9 (não conheço) por colocar o FF em 1º da lista. Pra mim a Adobe e a Sun liderariam.


Carlos Machado, da INFO
Quinta-feira, 11 de dezembro de 2008 - 19h31

SÃO PAULO – Empresa faz lista dos 12 aplicativos mais vulneráveis e – quem diria? – deu Firefox na cabeça.

A Bit9, empresa de segurança americana, analisa aplicativos quanto aos riscos que oferecem no uso corporativo. Nesta quinta-feira, 11/12, ela publicou seu ranking anual dos programas mais arriscados.

Trata-se de um estudo reservado que tem por título 2008’s Popular Applications with Critical Vulnerabilities. Do total de estudos a Bit9 revelou o que ela chama de Dirty Dozen (algo como os 12 mais sujos). Veja a lista:


1. Firefox, da Fundação Mozilla
2. Flash e Acrobat, da Adobe
3. VMware Player e VMware Workstation, da VMware
4. Java Runtime Environment, da Sun
5. QuickTime, Safari e iTunes, da Apple
6. Produtos Norton, da Symantec
7. OfficeScan, da Trend Micro
8. Produtos Citrix, da Citrix
9. Aurigma e Lycos, gerenciadores de imagens
10. Skype, da Skype
11. Yahoo! Assistant, da Yahoo!
12. Windows Live Messenger, da Microsoft

A empresa explica que, no ano passado, somente dez produtos foram destacados com esse antiprêmio. Agora, a lista foi expandida para doze. Os critérios utilizados, são de que o aplicativo participante: 1) roda no Windows; 2) é conhecido no mercado e alvo de muitos downloads pelo consumidor; 3) não é classificado como produto malicioso pelas organizações de TI e empresas de segurança; 4) contém no mínimo uma vulnerabilidade, descoberta a partir de janeiro de 2008 e registrada no NIST (instituto americano de padrões) com severidade classificada entre 7 e 10 no sistema CVSS; 5) depende do usuário final, e não de uma administração central, para ser atualizado.
fonte:
http://info.abril.com.br/aberto/infonew ... 008-42.shl

S!


Pois é, olha que curioso: há um produto da M$, no final da lista

Isso me cheira aos velhos hábitos da M$ de contra-propaganda...

Eu uso o FF com muito poucos adds e até hoje ele não me deu nenhum problema...



SP!

JRRJ,

Alem do IE(Ka), voce usa algum destes "famosos"?

6. Produtos Norton, da Symantec
7. OfficeScan, da Trend Micro



SOkol1

Condor,

Tambem achei estranho. Mais como disse, nao conheço essa Bit9 nem esse parametro da pesquisa deles. Se alguem sabe se é uma empresa séria avise.


Sokol1,

Só uso o IEka mesmo LOL. E só mudei pra ele pois o Netscape passou a não abrir muitas paginas naquela época da guerra lembra?. Acabei sendo OBRIGADO a ficar com ele.

E esse IE7 é o pior de todos. Eu odeio abas e cada janela que abro ele arrebenta com a RAM.

Muitas vezes acontece de fechar todas as janelas do IE7 e no task manager ainda tem instancia dele. Phodis.

Eu acabei de reformatar meu note, reinstalei o FF e foi absolutamente tranquilo... Os poucos plugins que eu uso eu ou mandei ele reinstalar ou ele entendeu que precisava e baixou ou recomendou baixar.

Agora, quem transforma computador em penteadeira e enche de penduricalhos, realmente pode ter problema pra achar tudo, mas aí independe do navegador...

Sobre a lista, ele deve ter tirado IE e Windows da lista com base no critério 5 ("depende do usuário final, e não de uma administração central, para ser atualizado"), o que é incorreto, uma vez que as atualizações automáticas dependem do usuário liberá-las.

S!

Sobre a lista, ele deve ter tirado IE e Windows da lista com base no critério 5 ("depende do usuário final, e não de uma administração central, para ser atualizado"), o que é incorreto, uma vez que as atualizações automáticas dependem do usuário liberá-las.

Verdade, esse quesito está furado. O FF inclusive (assim como o IE) por default vem com o upgrade automatico baixado de uma central, uma vez liberado, então ele também não deveria estar na lista. Aliás, as correções e incrementos do FF são constantes, enquanto as do IE são uma vez na vida, outra na morte


SP!

JRRJ,

É bom voce usar o Firefox, pelos menos temporariamente:

http://news.bbc.co.uk/1/hi/technology/7784908.stm



Sokol1

Pois é, olha aí o super seguro IE: http://oglobo.globo.com/tecnologia/mat/ ... 308094.asp

Detalhe: ""In this case, hackers found the hole before Microsoft did," said Rick Ferguson". Tá, conta uma novidade agora....

Em nenhum momento eu disse ser o mais seguro.
Sempre disse que tem melhor resposta aos incidentes de segurança. Apenas isso.

Lógico que é o mais explorado.

Vamos ver agora quando vão liberar a correção. C´est la vie

S!


A M$ recomanda não trocar... em vez disso, pede aos usuarios que desliguem o OLED32.dll e a funçao XML Island :-?

Ah, tá, e o usuário comum (99,99 do planeta) que apenas sabe como navegar?



SP!

Ah, tá, e o usuário comum (99,99 do planeta) que apenas sabe como navegar?

Vocês sabem navegar uma ova! Clicam em tudo que é janela e link suspeito que aparece pela frente. :

Sokol1

Out-of Band

Acabei de receber o email da Microsoft dizendo que vão liberar o patch amanha.

JRRJ

*quem usa windows vale a pena assinar os avisos da Microsoft.






-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


********************************************************************
Out-of Band Microsoft Security Bulletin Advance Notification for
December 2008
Issued: December 16, 2008
********************************************************************


This is an advance notification of an out-of-band security bulletin
that Microsoft is intending to release on December 17, 2008.


The full version of the Microsoft Security Bulletin Advance
Notification for December 2008 can be found at
http://www.microsoft.com/technet/securi ... 8-dec.mspx.


This bulletin advance notification will be replaced with the
revised December bulletin summary on December 17, 2008. The revised
bulletin summary will include the out-of-band security bulletin as
well as the security bulletins already released on December 9, 2008.


For more information about the bulletin advance notification service,
see
http://www.microsoft.com/technet/securi ... vance.mspx.


To receive automatic notifications whenever
Microsoft Security Bulletins are issued, subscribe to Microsoft
Technical Security Notifications on
http://www.microsoft.com/technet/securi ... otify.mspx.


Microsoft will host two webcasts to address customer questions on
this out-of-band security bulletin: on December 17, 2008, at 1:00 PM
Pacific Time (US & Canada) and December 18, 2008, at 11:00 AM
Pacific Time. Register for these out-of-band Security Bulletin
Webcasts at
http://www.microsoft.com/technet/securi ... mmary.mspx.


Microsoft also provides information to help customers prioritize
monthly security updates with any non-security, high-priority
updates that are being released on the same day as the monthly
security updates. Please see the section, Other Information.


This advance notification provides the software subject as the
bulletin identifier, because the official Microsoft Security
Bulletin numbers are not issued until release. The bulletin summary
that replaces this advance notification will have the proper
Microsoft Security Bulletin numbers (in the MSyy-xxx format) as the
bulletin identifier. The security bulletins for this month are as
follows, in order of severity:



Critical Security Bulletin
============================


IE Bulletin


- Affected Software:
- Internet Explorer 5.01 Service Pack 4 when installed on
Microsoft Windows 2000 Service Pack 4
- Internet Explorer 6 Service Pack 1 when installed on
Microsoft Windows 2000 Service Pack 4
- Internet Explorer 6 for
Windows XP Service Pack 2 and
Windows XP Service Pack 3
- Internet Explorer 6 for
Windows XP Professional x64 Edition and
Windows XP Professional x64 Edition Service Pack 2
- Internet Explorer 6 for
Windows Server 2003 Service Pack 1 and
Windows Server 2003 Service Pack 2
- Internet Explorer 6 for
Windows Server 2003 x64 Edition and
Windows Server 2003 x64 Edition Service Pack 2
- Internet Explorer 6 for
Windows Server 2003 with SP1 for Itanium-based Systems and
Windows Server 2003 with SP2 for Itanium-based Systems
- Internet Explorer 7 for
Windows XP Service Pack 2 and
Windows XP Service Pack 3
- Internet Explorer 7 for
Windows XP Professional x64 Edition and
Windows XP Professional x64 Edition Service Pack 2
- Internet Explorer 7 for
Windows Server 2003 Service Pack 1 and
Windows Server 2003 Service Pack 2
- Internet Explorer 7 for
Windows Server 2003 x64 Edition and
Windows Server 2003 x64 Edition Service Pack 2
- Internet Explorer 7 for
Windows Server 2003 with SP1 for Itanium-based Systems and
Windows Server 2003 with SP2 for Itanium-based Systems
- Internet Explorer 7 in
Windows Vista and
Windows Vista Service Pack 1
- Internet Explorer 7 in
Windows Vista x64 Edition and
Windows Vista x64 Edition Service Pack 1
- Internet Explorer 7 in
Windows Server 2008 for 32-bit Systems
- Internet Explorer 7 in
Windows Server 2008 for x64-based Systems
- Internet Explorer 7 in
Windows Server 2008 for Itanium-based Systems


- Note for Windows Internet Explorer 8 Beta 2
This vulnerability was reported after the release of Windows
Internet Explorer 8 Beta 2. Customers running Windows Internet
Explorer 8 Beta 2 are encouraged to download and apply the
update to their systems when the bulletin is published.


- Impact: Remote Code Execution
- Version Number: 1.0



Other Information
=================


Non-Security, High-Priority Updates on MU, WU, and WSUS:
========================================================
For information about non-security releases on Windows Update and Microsoft
update, please see:
* http://support.microsoft.com/kb/894199: Microsoft Knowledge Base
Article 894199, Description of Software Update Services and
Windows Server Update Services changes in content for 2008.
Includes all Windows content.
* http://technet.microsoft.com/en-us/wsus/bb466214.aspx: New,
Revised, and Released Updates for Microsoft Products Other Than
Microsoft Windows


Microsoft Active Protections Program (MAPP)
===========================================
To improve security protections for customers, Microsoft provides
vulnerability information to major security software providers in
advance of each monthly security update release. Security software
providers can then use this vulnerability information to provide
updated protections to customers via their security software or
devices, such as antivirus, network-based intrusion detection
systems, or host-based intrusion prevention systems. To determine
whether active protections are available from security software
providers, please visit the active protections Web sites provided by
program partners, listed at
http://www.microsoft.com/security/msrc/ ... tners.mspx.


Recognize and avoid fraudulent e-mail to Microsoft customers:
=============================================================
If you receive an e-mail message that claims to be distributing
a Microsoft security update, it is a hoax that may contain
malware or pointers to malicious Web sites. Microsoft does
not distribute security updates via e-mail.


The Microsoft Security Response Center (MSRC) uses PGP to digitally
sign all security notifications. However, PGP is not required for
reading security notifications, reading security bulletins, or
installing security updates. You can obtain the MSRC public PGP key
at
https://www.microsoft.com/technet/secur ... n/pgp.mspx.


To receive automatic notifications whenever
Microsoft Security Bulletins are issued, subscribe to Microsoft
Technical Security Notifications on
http://www.microsoft.com/technet/securi ... otify.mspx.


********************************************************************
THE INFORMATION PROVIDED IN THIS MICROSOFT COMMUNICATION IS
PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. MICROSOFT
DISCLAIMS ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING
THE WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE.
IN NO EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE
LIABLE FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT,
INCIDENTAL, CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL
DAMAGES, EVEN IF MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN
ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.
SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF LIABILITY
FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE FOREGOING
LIMITATION MAY NOT APPLY.
********************************************************************


-----BEGIN PGP SIGNATURE-----
Version: PGP Desktop 9.9.0 (Build 397)
Charset: utf-8


wsFVAwUBSUgVeWA17vDdGxdTAQh/Lw//UecDXZl4myytKUYEksuH97ybOI8cIthN
9p2nQIlHe4qdekjkta4DuL2J9u8GiPZRu9FPMXE0108oKBWiIhDr1PL3IZ9bxShG
LYuBTPVB0874gAPd/NAjNdsaxTYhv0+a/ZMmOvBB6IDCE/I1R5OaMHRj1D2XTtRY
6TOGi3r5Sb+dupI1JeVyYp2Xs1ih2OEupQmj4hZ++4WnQdxCIDoSc6VRqxLyZxFv
6itsY58XwrjFKNjWsPvY6g5EPTZgHGjNiqkPFK4MlC3k76MfzfgOPVu//uwT6j9f
MuoaK0uQOd5/cozmihzgLfgniPo6o+fp7yU556G3rqydxsihC7RWlkD4yKxI9M2D
ytfepgsiVD9Db0YKlisR7RBp0m+T/RxtNoWuKu0MBjcP8Zs6lKnvhTvuDvEjlBSl
aDgH32ZsfqQQRvLlRwNQLR1jI4nb3BUmyAsaIYErp/8g3i3K3xB2D1tC+OAaT/rx
n6zo+xXQS5QfBGEE777xvnIz9FJjv/yMEtXlbXmtG1veMHsHF/Ii6D6VgrRwH/tR
7KIkfG9y2LKa/azisTtnM2d3DzcHvsqAlbriXU5K2GYPfI4cTZ05t1mxRXJKfLwK
+E2r/CmR+69VPwS3SyxaUZbPjQypT8jiFz2aZtEaakbVfheLSNV+Wo7abhQiS+cM
aQEG8KeCrHM=
=bnEJ
-----END PGP SIGNATURE-----

Sobre a "insegurança" do Firefox:

http://forumpcs.com.br/coluna.php?b=248419

Sokol1