|
Internet
Explorer apresenta mais 5 falhas graves
Helena Nacinovic
Foram descobertas cinco novas vulnerabilidades no Internet Explorer, o
navegador web da Microsoft, de acordo com relatório da empresa de segurança
Secunia. As vulnerabilidades podem ser exploradas para comprometer as máquinas
afetadas, permitindo que atacantes tenham acesso remoto ao sistema local e
a informações confidenciais. As falhas foram identificadas pelo
pesquisador de segurança chinês, Liu Die Yu, e descritas pela Secunia em
um alerta divulgado ontem.
As vulnerabilidades foram classificadas
como "extremamente críticas" e ainda não têm correções
disponíveis. As versões do Internet Explorer afetadas são a 5.01, 5.5 e
6. O executivo da Secunia, Thomas Kristensen, disse ao site de notícias
The Register que as cinco falhas podem ser combinadas para instalar
arquivos executáveis, como vírus, cavalos de Tróia e discadores para
serviços por minuto. Kristensen afirmou também que acredita que a
Microsoft não vai abrir exceção na nova regra de alertas mensais de
segurança para disponibilizar uma correção para essas vulnerabilidades,
a menos que elas comecem a ser exploradas em massa.
A primeira falha está no recurso de
redirecionamento que usa o processador de URL "mhtml:". Essa função
pode ser explorada para contornar uma verificação de segurança no
Internet Explorer, que normalmente impede que sites na zona Internet
consultem arquivos locais. O mesmo recurso de redirecionamento tem uma
segunda vulnerabilidade, que pode ser explorada para fazer o download e
executar arquivos maliciosos no sistema do usuário.
A terceira vulnerabilidade está no módulo
de script entre sites e pode ser explorada para executar scripts na zona
de segurança associada a outro site, caso ela contenha um subframe
(quadros com informações dentro de páginas da Web). Isso permitiria que
um atacante executasse scripts maliciosos no sistema local. A quarta falha
encontrada é uma variação de uma vulnerabilidade corrigida, mas que
ainda pode ser explorada para "seqüestrar" os cliques de mouse
do usuário e executar ações sem o conhecimento dele. A quinta
vulnerabilidade está na funcionalidade de download, que pode ser
explorada para expor o diretório de cache do usuário. Essa
vulnerabilidade não afeta todas as versões do programa e pode ter sido
corrigida no último patch do Internet Explorer.
As falhas são graves e, segundo a
Secunia, já existem exploits disponíveis. A solução temporária
sugerida é desativar a função Active Scripting do Internet Explorer, o
que desativaria também as vulnerabilidades. No entanto, alguns sites se
utilizam de tarefas que não podem ser realizadas sem essa função.
InfoGuerra
|
