MS divulga correção para 3 falhas do IE

A Microsoft publicou hoje o aguardado boletim de segurança que traz as correções de três bugs do Internet Explorer que ainda estavam sem correção.Abaixo estão os updates liberados pela Microsoft.

• Internet Explorer 6 Service Pack 1: Download do update.
• Internet Explorer 6 Service Pack 1 (64-Bit Edition): Download do update.
• Internet Explorer 6 for Windows Server 2003: Download do update.
• Internet Explorer 6 for Windows Server 2003 (64-Bit Edition): Download do update.
• Internet Explorer 6: Download do update.
• Internet Explorer 5.5 Service Pack 2: Download do update.
• Internet Explorer 5.01 Service Pack 4: Download do update.
• Internet Explorer 5.01 Service Pack 3: Download do update.
• Internet Explorer 5.01 Service Pack 2: Download do update.

Segundo o boletim, as versões não citadas ou não são mais suportadas ou não apresentam as vulnerabilidades que foram corrigidas nesta atualização.

As vulnerabilidades corrigidas foram:

• Uma vulnerabilidade que envolve o modelo de segurança de cross-domain do Internet Explorer. O modelo de segurança de cross-domain do Internet Explorer evita que janelas de dominios diferentes troquem informações. A vulnerabilidade poderia resultar na execução de scripts na área da maquina local. Para explorar a vulnerabilidade um atacante precisaria ter um website com uma página projetada para explorar a vulnerabilidade, e então persuadir a vítima a ver o website. O ataque também poderia ser feito por um email HTML. Após conseguir isso o atacante poderia obter informações de outros WebSites, acessar arquivos do disco local do usuário e executar códigos arbitrários no sistema.
• Uma vulnerabilidade que envolve a função clique-e-arraste (drag-and-drop) com ponteiros de função durante a eventos DHTML no Internet Explorer. Esta vulnerabilidade permite que um arquivo seja salvo em algum local do computador da vítima quando o usuário clicar em um link. Nenhuma caixa de diálogo avisa sobre o download do arquivo ou pede confirmação sobre o download. Da mesma maneira que o bug anterior, a vulnerabilidade pode ser explorada através de uma página ou de um email HTML, porém nenhum código é executado, apenas é possível salvar um arquivo no sistema do usuário.
• Uma vulnerabilidade que envolve a interpretação incorreta de URLs que contém caracteres especiais. Quando utilizada em conjunto com o recurso de autenticação (login:senha@ no começo da URL), permite a modificação da URL que aparece na barra de endereço do Internet Explorer. Esta falha foi amplamente debatida aqui na Total Security, confira os artigos: Falha no IE permite esconder url real, Patch não oficial para bug do IE também tem bug, Falha do IE não aparece nos boletins da Microsoft, Brecha do IE prolifera golpes por e-mail.

Mais informações podem ser obtidas no boletim de segurança liberado hoje (02/02/2004) pela Microsoft.