Total Security - totalsecurity.com.br
Windows
Sexta - 07 de Janeiro de 2011 às 13:45

    Imprimir


No dia 14 de dezembro, uma brecha sem correção no Internet Explorer foi revelada publicamente na web, permitindo que criminosos instalem vírus no PC de qualquer internauta que visitar um site infectado, sem que os usuários confirmem o download.

Outra falha foi revelada no dia 23 de dezembro, e outras duas esta semana. Duas vulnerabilidades estão diretamente no navegador; outra está no Windows e, a última, em um componente adicional, que deixa o IE vulnerável.

O problema mais grave foi o revelado dia 14. A falha existe em todas as versões do Internet Explorer com suporte (desde a versão 6, nos Windows XP, Vista e 7). A falha está no próprio navegador. A Microsoft recomenda o uso da ferramenta EMET para impedir que a vulnerabilidade seja explorada.

Outra falha grave está presente no componente de processamento gráfico do Windows, o GDI. Segundo a Microsoft, a falha não pode ser explorada por páginas de internet, mas pode ser explorada por e-mail com arquivos .doc ou PowerPoint anexados, por exemplo. A vulnerabilidade não existe nos Windows 7 e 2008 Server R2.

Uma das brechas só funciona caso o Kit administrativo do WMI esteja instalado no computador. A maioria dos usuários não deve estar vulnerável.

Confira, na tabela abaixo, as falhas graves no Internet Explorer e no Windows. 

Revelação Código Malicioso Software Revelado por
 
14/12/2010 23/12/2010 IE 6, 7, 8 WooYun.org
15/12/2010 23/12/2010 Windows XP/Vista Moti e Xu Hao
23/12/2010 4/1/2011 Windows com Kit WMI WooYun.org
1/1/2011 5/1/2011 IE 6, 7, 8 Michael Zalewski
 
Falha é divulgada por pesquisador do Google

A brecha mais recente foi divulgada indiretamente por um pesquisador do Google. Michael Zalewski criou uma ferramenta genérica para a identificação de falhas em navegadores de internet, chamada cross_fuzz. Em julho, ele alertou a Microsoft para possíveis problemas no navegador da empresa. A companhia pediu que Zalewski não lançasse a ferramenta por um prazo “indefinido”.

O pesquisador afirma que a empresa não informou quando a falha seria corrigida e, por isso, lançou a ferramenta mesmo assim. Brechas graves similares no Firefox e no Opera foram encontradas e os desenvolvedores corrigiram as mais sérias, segundo o especialista.
É a terceira vez que um pesquisador do Google divulga uma falha em um produto da Microsoft, embora tenham feito isso como indivíduos, e não como funcionários da gigante de buscas. Junto de Zalewski estiveram Tavis Ormandy e Chris Evans.

Brechas sem correção
Falhas sem correção são chamadas de falhas “dia zero”. O número zero é uma referência a quantos dias um código malicioso está disponível após o lançamento de uma solução. Um código malicioso que é disponibilizado no mesmo dia em que uma correção saiu é “dia um”. O zero indica que foi lançado antes da correção, ou seja, antes do dia um.


A empresa de segurança Vupen mantém uma lista de brechas não corrigidas pela Microsoft. Porém, as quatro divulgadas no IE e no Windows permitem a instalação de vírus (“execução de código”, no jargão técnico) e, por isso, são críticas.






Comentários

Deixe seu Comentário

URL Fonte: https://totalsecurity.com.br/noticia/2350/visualizar/