Total Security - totalsecurity.com.br
3 novas falhas no IE em cerca de uma semana.
Os últimos dias foram agitados, no que diz respeito a falhas no navegador Internet Explorer. Três novas falhas foram divulgadas ao público em um curto espaço de tempo, a terceira considerada extremamente crítica.A primeira vulnerabilidade foi descoberta por Michal Zalewski e publicada no dia 16 de março na lista BugTraq. A falha, que foi considerada não crítica pela Secunia, é explorada por uma falha na biblioteca mshtml.dll (sempre ela...), que pode levar ao travamento do navegador ao acessar uma página especialmente construída. A falha consiste em adicionar vários script action handlers (por exemplo: onLoad, onMouseUp, onMouseOut, onKeyPress, etc.) à qualquer tag html. Segundo a Microsoft, a versão de 20 de março do Internet Explorer 7 Beta 2 Preview não está vulnerável à esta falha. Para mais informações, consulte os seguintes links (em inglês): BugTraq, Secunia.
A segunda falha foi divulgada por um desenvolvedor holandês, Jeffrey Van der Stad, no dia 13 de março em seu site. Lá ele publicou alguns detalhes da falha, que está relacionada aos arquivos HTA (HTML Applications). Mais especificamente, a falha permite que as aplicações HTA sejam executadas sem a autorização do usuário. Segundo o próprio site do desenvolvedor que descobriu a falha, a versão de 20 de março do Internet Explorer 7 Beta 2 Preview também está livre da vulnerabilidade.
A terceira falha foi divulgada dia 22 de março pela Computer Terrorism e por Andreas Sandblad, da Secunia Research. Considerada extremamente crítica pela própria Secunia, a falha está na chamada do método DHTML createTextRange(), que pode levar a execução remota de códigos na maquina da vítima. Um exploit para a falha existe segundo a Computer Terrorism, mas que não seria divulgado até a apresentação de uma correção pela Microsoft. Em um alerta publicado ontem, a Microsoft afirma que a versão de 20 de março do IE 7 Beta 2 Preview não está vulnerável à esta falha. Para aqueles que não querem usar uma versão beta do software, desativar a opção Active Scripting do navegador também resolve o problema.
Solução para as três vulnerabilidades:
- Atualizar para a versão de 20 de março do IE 7 Beta 2 Preview.
- Mudar para o Firefox
Cristian T. Moecke, para a Total Security
A segunda falha foi divulgada por um desenvolvedor holandês, Jeffrey Van der Stad, no dia 13 de março em seu site. Lá ele publicou alguns detalhes da falha, que está relacionada aos arquivos HTA (HTML Applications). Mais especificamente, a falha permite que as aplicações HTA sejam executadas sem a autorização do usuário. Segundo o próprio site do desenvolvedor que descobriu a falha, a versão de 20 de março do Internet Explorer 7 Beta 2 Preview também está livre da vulnerabilidade.
A terceira falha foi divulgada dia 22 de março pela Computer Terrorism e por Andreas Sandblad, da Secunia Research. Considerada extremamente crítica pela própria Secunia, a falha está na chamada do método DHTML createTextRange(), que pode levar a execução remota de códigos na maquina da vítima. Um exploit para a falha existe segundo a Computer Terrorism, mas que não seria divulgado até a apresentação de uma correção pela Microsoft. Em um alerta publicado ontem, a Microsoft afirma que a versão de 20 de março do IE 7 Beta 2 Preview não está vulnerável à esta falha. Para aqueles que não querem usar uma versão beta do software, desativar a opção Active Scripting do navegador também resolve o problema.
Solução para as três vulnerabilidades:
- Atualizar para a versão de 20 de março do IE 7 Beta 2 Preview.
- Mudar para o Firefox
Cristian T. Moecke, para a Total Security
Fonte:
Eu escrevi
URL Fonte: https://totalsecurity.com.br/noticia/1406/visualizar/
Comentários