Tag: Windows

Recall: O espião da Microsoft na sua vida digital?
O anúncio do Windows Recall no evento Build 2024 da Microsoft gerou um burburinho de opiniões divergentes. De um lado, a promessa de um recurso que facilita a busca por qualquer coisa que você já tenha visto no seu PC, usando linguagem natural, parece bastante útil. Do outro, a coleta e o armazenamento de dados tão pessoais, mesmo que localmente, levantam sérias preocupações sobre privacidade.
Mergulhando no funcionamento do Recall:
Imagine ter uma memória fotográfica do seu PC. Essa é a proposta do Recall, que captura imagens da sua tela a cada poucos segundos, as analisa com inteligência artificial e as torna pesquisáveis. Isso significa que você pode encontrar facilmente um documento, uma mensagem ou até mesmo um par de sapatos que você estava pesquisando online semanas atrás.
Para conseguir essa façanha, o Recall utiliza “instantâneos” da sua tela, armazenados localmente no seu computador. Algoritmos analisam esses instantâneos, identificando elementos como cores, formas, imagens e texto, tornando-os pesquisáveis.
Ferramenta útil ou pesadelo da privacidade?
A funcionalidade, por si só, parece interessante. No entanto, a coleta e o armazenamento de dados tão pessoais suscitam diversos questionamentos:
- Privacidade em xeque: A quantidade de dados coletados pelo Recall é imensa, incluindo informações confidenciais como senhas, dados bancários e até mesmo conversas privadas. Mesmo com a promessa da Microsoft de que os dados ficam armazenados localmente e nunca são enviados para servidores remotos, o histórico da empresa em relação à segurança de dados gera desconfiança entre muitos usuários.
- Segurança questionável: A segurança do Recall também foi questionada por especialistas. Inicialmente, os instantâneos não eram criptografados, o que os tornava vulneráveis a ataques de hackers. A Microsoft posteriormente implementou medidas como a criptografia do índice de pesquisa e das capturas de tela, mas a confiança plena ainda não foi conquistada.
- Falta de controle granular: O Recall, inicialmente, não permitia que os usuários definissem quais sites ou aplicativos teriam seus instantâneos capturados. Essa falha foi corrigida posteriormente, mas ainda há dúvidas sobre o nível de controle que os usuários realmente possuem sobre seus dados.
A resposta da Microsoft:
Diante das críticas, a Microsoft se esforçou para aumentar a segurança e a transparência do Recall. As medidas tomadas incluem:
- Tornar o Recall opt-in: Inicialmente, o Recall seria ativado por padrão, exigindo que os usuários o desativassem manualmente. Após as críticas, a Microsoft mudou para um modelo opt-in, onde os usuários precisam explicitamente ativá-lo.
- Aprimorar a criptografia: A empresa implementou criptografia no índice de pesquisa e nas capturas de tela, além de exigir autenticação com Windows Hello para acessar o Recall.
- Permitir mais controle: Os usuários agora podem definir quais sites e aplicativos serão excluídos da captura de instantâneos.
Vale a pena usar o Recall?
A decisão de usar ou não o Recall é individual e depende das suas prioridades e do seu nível de conforto com a coleta de dados. Se você valoriza a conveniência de encontrar facilmente qualquer coisa em seu PC e confia nas medidas de segurança da Microsoft, o Recall pode ser útil. No entanto, se você preza pela privacidade e se preocupa com o potencial de uso indevido de seus dados, é recomendável desativá-lo.
Recomendações para usar a função com mais segurança:
1. Ative apenas se você realmente precisar dele.
2. Defina as configurações de privacidade com cuidado, excluindo sites e aplicativos confidenciais da captura de instantâneos.
3. Mantenha o software antivírus e antimalware atualizado.
4. Crie backups regulares dos seus dados.
5. Esteja ciente de que, mesmo com as medidas de segurança da Microsoft, seus dados ainda estão armazenados em seu computador e podem ser acessados por alguém com acesso físico ao dispositivo.
O Recall ainda está em fase de desenvolvimento e a Microsoft provavelmente continuará a aprimorá-lo com base no feedback dos usuários. É importante acompanhar as atualizações e as medidas de segurança que a empresa implementa para decidir se o Recall é uma ferramenta que você se sente confortável em usar.
Conteúdo recomendado: Funcionários de gigantes da IA alertam sobre perigos da tecnologia em carta aberta (05/06/2024)
10/06/2024
Adeus, Windows 10: A polêmica da obsolescência
O fim de uma era se aproxima para o Windows 10, e com ela, a incerteza e a frustração de milhões de usuários. A Microsoft definiu o dia 14 de outubro de 2025 como a data limite para o suporte ao popular sistema operacional, deixando cerca de 240 milhões de computadores (segundo estimativas da Canalys Research) sem atualizações de segurança e recursos aprimorados.
Para alguns, a solução seria simples: atualizar para o Windows 11. No entanto, nem todos os computadores serão compatíveis com o novo sistema, exigindo requisitos mínimos de hardware mais rigorosos.
O fim do suporte ao Windows 10 em 14 de outubro de 2025 marca um ponto de inflexão para milhões de usuários ao redor do mundo. Com o fim das atualizações de segurança e recursos aprimorados, cerca de 240 milhões de computadores, segundo a Canalys Research, serão deixados para trás.
Requisitos técnicos do Windows 11 geram frustração e gastos inesperados
A verificação da compatibilidade pode ser feita nas configurações do computador, em “Atualizações de Segurança” e “Windows Update”. Infelizmente, muitos usuários se depararam com a frustrante realidade de que seus PCs, apesar de funcionais, não atendem aos requisitos técnicos exigidos pelo novo sistema.
Diante dessa situação, a Microsoft sugere uma solução “simples” e nem sempre acessível: comprar um novo PC compatível. No site oficial da Microsoft, áreas dedicadas ao novo sistema operacional oferecem sugestões de compra e até mesmo um questionário para auxiliar na escolha do novo computador ideal.
No entanto, isso gerou controvérsias e críticas, levantando questões como:
- Obsolescência programada: A rápida obsolescência do software força os consumidores a atualizar constantemente seus dispositivos, gerando um ciclo de consumo excessivo e impacto ambiental significativo.
- Falta de alternativas: Nem todos os usuários possuem os recursos financeiros para adquirir um novo PC compatível com o Windows 11.
- Direito à reparabilidade: O fim do suporte dificulta o reparo e a manutenção de computadores mais antigos, mesmo que estes ainda funcionem perfeitamente.
O que os usuários podem fazer?
Diante desse cenário, as opções para os usuários do Windows 10 são limitadas:
- Migrar para o Windows 11: Para aqueles que possuem computadores compatíveis, a atualização para o Windows 11 é a solução mais segura e recomendada.
- Continuar usando o Windows 10: É possível continuar usando o Windows 10 mesmo após o fim do suporte oficial, mas é importante estar ciente dos riscos de segurança crescentes e da falta de novas funcionalidades
- Fazer upgrade do hardware: Em alguns casos, investir na atualização de componentes do computador pode torná-lo compatível com o Windows 11.
- Aguardar por soluções: A comunidade open-source e empresas independentes estão trabalhando em maneiras de contornar o fim do suporte, como projetos para manter o Windows 10 seguro e atualizado.
Para aqueles que não podem ou não desejam comprar um novo PC, algumas alternativas podem ser consideradas:
- Continuar usando o Windows 10: Mesmo após o fim do suporte oficial, o Windows 10 continuará funcionando por um bom tempo. No entanto, é importante estar ciente dos riscos de segurança, pois a Microsoft não fornecerá mais atualizações de segurança após 2025.
- Explorar alternativas de sistema operacional: Diversas opções de sistemas operacionais gratuitos e de código aberto estão disponíveis, como Linux e Chrome OS. Essas opções podem ser adequadas para usuários com necessidades básicas de computação, como navegação na internet, edição de documentos e uso de e-mail.
- Investir em upgrades de hardware: Em alguns casos, pode ser possível atualizar o hardware do computador existente para atender aos requisitos do Windows 11. Essa opção pode ser mais econômica do que comprar um novo PC, mas nem sempre é viável para todos os dispositivos.
O futuro da computação: repensando obsolescência e sustentabilidade
A polêmica em torno do fim do suporte ao Windows 10 levanta questões importantes sobre obsolescência tecnológica, sustentabilidade e direito à reparabilidade. É fundamental que empresas como a Microsoft considerem alternativas que minimizem o impacto ambiental e financeiro da constante atualização de hardware e software.
A busca por soluções mais sustentáveis e éticas na indústria da tecnologia é crucial para garantir que o acesso à informação e à computação seja um direito universal, e não um privilégio acessível apenas a quem pode arcar com os custos crescentes da obsolescência programada.
Conteúdo recomendado: Funcionários de gigantes da IA alertam sobre perigos da tecnologia em carta aberta (05/06/2024)
09/06/2024
Urgente: Vulnerabilidade crítica no PHP afeta servidores Windows com facilidade em 2024
Uma vulnerabilidade crítica na linguagem de programação PHP pode ser explorada trivialmente para executar código malicioso em dispositivos Windows, alertam pesquisadores de segurança, que pediram aos afetados que tomem medidas antes do início do fim de semana.
Menos de 24 horas após a publicação da vulnerabilidade e do patch correspondente, pesquisadores da organização de segurança sem fins lucrativos Shadowserver relataram varreduras na Internet projetadas para identificar servidores vulneráveis a ataques. Isso – combinado com (1) a facilidade de exploração, (2) a disponibilidade de código de ataque de prova de conceito, (3) a gravidade da execução remota de código em máquinas vulneráveis e (4) a ampla plataforma XAMPP sendo vulnerável por padrão – levou os profissionais de segurança a urgir os administradores para verificar se seus servidores são afetados antes de começar o fim de semana.
Quando “Melhor ajuste” não é o melhor
“Um bug desagradável com uma exploração muito simples – perfeito para uma tarde de sexta-feira”, escreveram pesquisadores da empresa de segurança WatchTowr.
CVE-2024-4577, como a vulnerabilidade é rastreada, decorre de erros na maneira como o PHP converte caracteres Unicode em ASCII. Um recurso embutido no Windows conhecido como Best Fit permite que invasores usem uma técnica conhecida como injeção de argumento para passar a entrada fornecida pelo usuário para comandos executados por um aplicativo, neste caso, PHP. Exploits permitem que invasores contornem o CVE-2012-1823, uma vulnerabilidade crítica de execução de código corrigida em 2012.
“Ao implementar o PHP, a equipe não percebeu o recurso de Melhor Ajuste da conversão de codificação no sistema operacional Windows”, escreveram pesquisadores da Devcore, a empresa de segurança que descobriu o CVE-2024-4577. “Essa supervisão permite que invasores não autenticados contornem a proteção anterior do CVE-2012-1823 por meio de sequências de caracteres específicas. O código arbitrário pode ser executado em servidores PHP remotos por meio do ataque de injeção de argumento.”
O CVE-2024-4577 afeta o PHP somente quando ele é executado em um modo conhecido como CGI, no qual um servidor web analisa solicitações HTTP e as passa para um script para processamento. Mesmo quando não está definido para o modo CGI, no entanto, a vulnerabilidade ainda pode ser explorável quando executáveis como php.exe e php-cgi.exe estão em diretórios acessíveis pelo servidor web. Esta configuração é definida por padrão no XAMPP para Windows, tornando a plataforma vulnerável a menos que tenha sido modificada.
Um exemplo, observou WatchTowr, ocorre quando consultas são analisadas e enviadas por meio de uma linha de comando. O resultado: uma solicitação inofensiva como host/cgi.php?foo=bar poderia ser convertida em php.exe cgi.php foo=bar, um comando que seria executado pelo mecanismo principal da linguagem.
Sem escape para PHP
Créditos: SurfShark
Como muitas outras linguagens, o a linguagem converte certos tipos de entrada do usuário para evitar que seja interpretada como um comando para execução. Esse é um processo conhecido como escape. Por exemplo, em HTML, os caracteres < e > são frequentemente escapados convertendo-os em seus equivalentes de valor hexadecimal Unicode < e > para evitar que sejam interpretados como tags HTML por um navegador.
Os pesquisadores da WatchTowr demonstram como o Best Fit falha ao escapar caracteres como um hífen suave (com valor Unicode 0xAD) e, em vez disso, o converte em um hífen normal não escapado (0x2D), um caractere essencial em muitas sintaxes de código.
Os pesquisadores continuaram explicando:
Acontece que, como parte do processamento Unicode, a linguagem aplicará um mapeamento conhecido como ‘melhor ajuste’ e presumirá que, quando o usuário inseriu um hífen suave, ele realmente quis digitar um hífen real e interpretá-lo como tal. Aqui reside a nossa vulnerabilidade – se fornecermos a um manipulador CGI um hífen suave (0xAD), o manipulador CGI não sentirá a necessidade de escapá-lo e o passará para o PHP. A linguagem, no entanto, irá interpretá-lo como se fosse um hífen real, o que permite a um invasor inserir argumentos de linha de comando extras, que começam com hifens, no processo.
Isso é notavelmente semelhante a um bug antigo do PHP (no modo CGI), CVE-2012-1823, e podemos pegar emprestadas algumas técnicas de exploração desenvolvidas para esse bug antigo e adaptá-las para funcionar com nosso novo bug. Uma análise útil aconselha que, para traduzir nossa injeção em RCE (Execução Remota de Código), devemos injetar os seguintes argumentos:
A vulnerabilidade foi descoberta pelo pesquisador da Devcore, Orange Tsai, que disse: “O bug é incrivelmente simples, mas é isso que também o torna interessante.”
O relatório da Devcore disse que os pesquisadores confirmaram que o XAMPP é vulnerável quando o Windows está configurado para usar os locais para chinês tradicional, chinês simplificado ou japonês. No Windows, um local é um conjunto de informações de preferência do usuário relacionadas ao idioma, ambiente e/ou convenções culturais do usuário. Os pesquisadores não testaram outros locais e pediram às pessoas que os usam para realizar uma avaliação abrangente de ativos para testar seus cenários de uso.
O CVE-2024-4577 afeta todas as versões do PHP em execução em um dispositivo Windows. Isso inclui branches da versão 8.3 anteriores a 8.3.8, 8.2 anteriores a 8.2.20 e 8.1 anteriores a 8.1.29.
Os branches da versão 8.0, 7 e 5 também são vulneráveis, mas como não são mais suportados, os administradores terão que seguir os conselhos de mitigação, pois os patches não estão disponíveis. Uma opção é aplicar o que é conhecido como regras de reescrita, como:
RewriteEngine On RewriteCond %{QUERY_STRING} ^%ad [NC] RewriteRule .? – [F,L]
Os pesquisadores alertam que essas regras foram testadas apenas para os três locais que eles confirmaram como vulneráveis.
O XAMPP para Windows ainda não havia lançado uma correção no momento em que esta postagem foi publicada. Para administradores que não precisam do PHP CGI, eles podem desativá-lo usando a seguinte configuração do Apache HTTP Server:
Conclusão
A vulnerabilidade crítica CVE-2024-4577 no PHP afeta todas as versões da linguagem em execução em dispositivos Windows. Devido à facilidade de exploração e à gravidade da execução remota de código, os administradores de sistema devem tomar medidas imediatas para atualizar suas instalações para versões corrigidas.
Recomendações:
- Aplique os patches mais recentes do PHP: Patches estão disponíveis para todas as versões suportadas do PHP.
- Verifique se o XAMPP está atualizado: Se você estiver usando o XAMPP, certifique-se de que ele esteja atualizado com a versão mais recente.
- Implemente regras de reescrita (opcional): Como solução alternativa, os administradores podem implementar regras de reescrita no Apache HTTP Server para mitigar a vulnerabilidade.
- Desative o PHP CGI (opcional): Se o PHP CGI não for necessário, desativá-lo pode reduzir o risco de exploração.
- Mantenha-se informado: Continue monitorando fontes confiáveis de segurança para obter as últimas informações sobre essa vulnerabilidade e outras ameaças à segurança.
Lembre-se: A segurança cibernética é uma responsabilidade contínua. É crucial aplicar as atualizações de segurança com rapidez e tomar medidas proativas para proteger seus sistemas contra vulnerabilidades conhecidas.
Recomendado: Funcionários de gigantes da IA alertam sobre perigos da tecnologia em carta aberta (05/06/2024)
08/06/2024
A Atualização do Microsoft Windows 11 2022 está aqui: Novidades, como baixar e muito mais
- A Atualização do Windows 11 2022 está sendo lançada em mais de 190 países e traz recursos como legendas ao vivo em todo o sistema, acesso por voz para controlar PCs com sua voz e controle de aplicativo inteligente para maior segurança.
A Microsoft começou a lançar a próxima versão principal do Windows 11. Apelidado de Atualização do Windows 11 2022, ele traz atualizações para o menu Iniciar e guias na janela do Explorador de Arquivos. A atualização também vem com novos recursos, como legendas ao vivo em todo o sistema, acesso por voz para controlar PCs com sua voz e controle de aplicativo inteligente para maior segurança. Anunciando a atualização por meio de um blog, a Microsoft disse que a Atualização do Windows 11 2022 está sendo lançada em mais de 190 países.
Como baixar
Os usuários de laptops e PCs com Windows com Windows 11 podem atualizar seus dispositivos abrindo a tela de configurações do Windows Update. Para fazer isso
– Vá para Configurações
– Clique no Windows Update
Aqui, selecione ‘Verificar atualizações’.
Se a atualização estiver disponível para o seu dispositivo, você pode optar por baixá-la imediatamente ou pausar a atualização ou alterar a hora em que ela é baixada.
Atualização do Microsoft Windows 11 2022: O que há de novo
A Microsoft diz que a versão do Windows 11 2022 traz atualizações para o menu Iniciar, pesquisa mais rápida e precisa, Configurações Rápidas, cobertura aprimorada de eventos locais e atuais no quadro de Widgets e a pergunta No 1 de você, guias no Explorador de Arquivos. A atualização também vem com legendas ao vivo em todo o sistema para gerar automaticamente legendas de qualquer forma de conteúdo de áudio no Windows 11. Ele também adiciona acesso por voz, o que permite que os usuários controlem seu PC e o texto do autor usando apenas sua voz. Há também um recurso Natural Voices for Narrator que espelha a fala natural mais de perto, criando um áudio mais agradável para ajudar na leitura ou navegação na web.
A atualização também torna os layouts do Snap mais versáteis, com melhor navegação por toque e a capacidade de encaixar várias guias do navegador no Microsoft Edge. A Microsoft também está introduzindo as sessões de Foco e Não Perturbe para ajudar os usuários a minimizar as distrações. Ele também adiciona novos recursos ao Windows Studio Effects4 para melhorar as chamadas de vídeo e áudio, novas ferramentas de criação, recursos adicionais de jogos e atualizações para a experiência da Microsoft Store.
Outro recurso digno que vem com a atualização do Windows 11 2022 é a adição do Smart App Control. O aplicativo bloqueia aplicativos não confiáveis ou não assinados, arquivos de script e macros maliciosas de serem executados no Windows 11. Diz-se que é construído sobre a mesma IA usada no Windows Defender Application Control. Ele também pode prever a segurança de um aplicativo em tempo real antes de ser executado no seu dispositivo.
22/09/2022