|
A Microsoft lançou, entre os boletins de segurança dessa semana, uma atualização (patch) cumulativa para o Internet Explorer (IE), que corrige todos as falhas anteriores do navegador, a partir da versão 5.01, incluindo o IE 6.0 para Windows Server 2003. Duas novas vulnerabilidades foram corrigidas, a mais grave delas, considerada crítica pela Microsoft, permite a um atacante executar programas em um sistema alheio, apenas induzindo o usuário a visitar um site especialmente preparado ou abrir uma mensagem HTML maliciosa.
A vulnerabilidade mais perigosa envolve o modelo de segurança do IE, que impede que a janela de um domínio cruze a de outro para compartilhar informações. Uma falha nesta implementação possibilita que códigos arbitrários sejam rodados na zona "Meu Computador". Isto permite a um usuário mal-intencionado carregar scripts maléficos ou rodar arquivos preexistentes no sistema. Não é necessário estar rodando o IE para que a falha seja explorada, basta que o navegador esteja instalado em um sistema.
A outra vulnerabilidade ocorre por causa de uma falha do IE ao tentar identificar um objeto retornado de um servidor Web. Neste caso, o bug também permite a execução de arquivos e em ambas as situações descritas a brecha de segurança é desencadeada ao se visitar uma página Web ou abrir um e-mail HTML preparados pelo atacante. Por causa disso, os usuários estão sendo orientados a aplicarem as correções o quanto antes.
Ainda foram feitos ajustes no funcionamento de um controle ActiveX, alterações na forma como o navegador monta arquivos HTML e atualizada uma correção de segurança já lançada em um boletim anterior. Outros detalhes e os links para download do patch cumulativo podem ser encontrados aqui.
|
boletim
fóruns
fale conosco
Virus e Cia.
