Fonte:
Por Robert McMillan, para o IDG Now!*
Publicada em 28 de abril de 2006 às 09h47
Atualizada em 28 de abril de 2006 às 10h01
São Francisco – Pesquisador descobre nova falha de alto risco no IE, a segunda nesta semana.
Pela segunda vez nesta semana, hackers descobriram uma falha até então desconhecida no Internet Explorer (IE), que pode ser usada para rodar softwares não autorizados em computadores com Windows.
Leia também:
A falha mais recente, reportada na quinta-feira (27/04), pode ser usada para assumir o controle de um PC e foi classificada como de “alto risco” pelo site de segurança FrSIRT.
Apesar da prova de conceito com o código que permitiria explorar a falha ter sido divulgada, tornando a vulnerabilidade mais perigosa, alguns fatores amenizam o risco.
Para assumir o controle do PC de um usuário, o autor do ataque primeiro precisaria atraí-lo para um site com códigos especiais e, em seguida, fazê-lo tomar algumas ações, como escrever um texto específico em um determinado campo, antes de conseguir rodar os códigos maliciosos.
O risco é ainda menor pelo fato do bug não afetar as versões mais recentes do Microsoft Windows e do Windows Server 2003, disse a FrSIRT.
Por causa destes fatores atenuantes, a Microsoft decidiu não corrigir a falha em atualizações do Internet Explorer.
"A vulnerabilidade não pode ser usada para executar código no sistema do usuário sem uma série de ações que não são comuns no uso típico de navegadores”, disse a Microsoft em uma declaração por escrito.
“Devido aos fatores atenuantes… determinamos que a falha será melhor endereçada em um service pack do que em uma atualização de segurança", diz a declaração.
A Microsoft não está ciente de nenhum ataque que explore a vulnerabilidade até o momento, diz também o documento.
Quem não quiser esperar pelo próximo pacote de segurança do Internet Explorer pode se prevenir mudando as configurações de segurança do IE para que o navegador não exiba o texto antes de entregar conteúdo ativo, disse Matthew Murphy, pesquisador que descobriu a falha.
“A vulnerabilidade em questão depende fundamentalmente em uma fraqueza na forma como o navegador alerta o usuário sobre potencias conteúdos perigosos na web”, disse ele na lista de discussão Full Disclosure.
Contudo, esta solução pode fazer com que o IE não funcione apropriadamente em sites que dependem de controles ActiveX, alertou o pesquisador.
O Internet Explorer continua a ser o alvo principal dos ataques, o que levou a Microsoft a ter que corrigir uma série de falhas na última atualização de segurança do produto, lançada em 11 de abril.
No ultimo domingo, o pesquisador Michael Zalewski postou detalhes de outra falha crítica similar a esta no Full Disclosure. A Secunia classificou o bug de Zalewski como “altamente crítico”.
Nenhum comentário:
Postar um comentário