Internet
Explorer tem duas novas falhas graves
Duas novas brechas de segurança no navegador Internet Explorer 6 foram
relatadas pela empresa Secunia. Consideradas "altamente críticas",
as falhas podem comprometer o sistema ao permitir que terceiros acessem
remotamente os recursos locais e ainda contornem uma característica de
segurança no Windows XP com o Service Pack 2 (SP2) instalado.
Conforme o boletim
da Secunia, uma das vulnerabilidades, descobertas e reportadas pelo hacker
http-equiv, é variante de uma brecha de segurança já divulgada
em agosto de 2004.
A falha é causada por um
problema de validação no comando "arrastar e soltar" (drag
and drop) durante a transferência de arquivos da Internet para
recursos locais. Os arquivos podem ser de imagens válidas ou de multimídia
com código HTML embutido. O bug pode ser explorado por meio de um site
malicioso e pode permitir a execução de um código arbitrário na zona
"Computador Local". De acordo com a empresa de segurança, o
sistema Windows XP SP2 não permite a execução de controles Active X na
zona "Computador Local".
A segunda vulnerabilidade
está em um erro de limitação da zona da segurança. Um controle de
ajuda HTML poderia ser inserido em um Web site que contenha referência a
um arquivo índice (.hhk) especialmente preparado e, assim, executar um
documento HTML local.
A falha também contorna
a característica de bloqueio de segurança na zona Computador Local em
sistemas Windows XP que tenham o SP2 instalados.
Caso as duas
vulnerabilidades sejam exploradas em combinação com um comportamento
inadequado em que o modelo ActiveX Data Object (ADO) possa escrever
arquivos arbitrários, o sistema da vítima poderá ser comprometido. O
problema foi confirmado em máquinas que rodam sistemas Windows
atualizados, incluindo o XP com SP2, e o navegador Internet Explorer 6.0
instalado.
Como ainda não existe
correção disponíveil, a Secunia aconselha os usuários a desativarem a
opção Active Scripting do Internet Explorer, ou utilizarem navegadores
alternativos.
InfoGuerra
|
