Home > Dicas

Pacote de correções para IE6 é incompleto, dizem especialistas

Primeiro Service Pack para o navegador apresenta falhas, mas mesmo assim vale a pena instalá-lo.

Paul Roberts

18/07/2005 às 14h17

Foto:

Apenas três dias depois de a Microsoft ter liberado o primeiro Service Pack para o Internet Explorer 6, especialistas em segurança já levantam vulnerabilidades que não foram atacadas na atualização.

O Service Pack 1 foi liberado na segunda-feira (09/09) pela Microsoft e contém correções para mais de 300 problemas no Internet Explorer 6, lançado em outubro passado com o Windows XP. A desenvolvedora também publicou o SP1 para Windows XP no mesmo dia.

Apesar das correções presentes, especialistas em segurança alertam que vulnerabilidades significativas ainda ficaram sem solução.

"Em termos de segurança, poderíamos dizer que estamos mal servidos mesmo agora", afirma Thor Larholm, pesquisador da consultoria em segurança Pivx Solutions. "É possível fazer qualquer coisa em qualquer página da Web com o Internet Explorer 6", diz o analista.

Quando questionada sobre a afirmação do especialista, a Microsoft afirmou que acredita estar trabalhando para benefício dos usuários e que seus profissionais em segurança geralmente chegam a conclusões diferentes sobre a possibilidade técnica de ataques identificados por outros especialistas.

Entre as vulnerabilidades apontadas por Larholm e outros especialistas em segurança, estão as que permitem que invasores tirem vantagem de brechas nas restrições e regras de segurança no Dynamic HTML Object Model, da Microsoft, que governa a interação entre janelas, caixas de diálogo e quadros em páginas Web.

Um alerta publicado recentemente por um pesquisador de Israel da companhia Pivx Solutions falava sobre os potenciais perigos sobre o que chamou de "cross-frame scripting". O cross-frame scripting facilita a passagem de informação entre diferentes partes de uma página Web. Mas essa função também permite que invasores, depois que o IE carrega uma página, use o JavaScript para alterar a URL exibida em um quadro-filho para a URL exibida no quadro principal, burlando regras de segurança que proíbem a livre interação entre os quadros exibidos em domínios diferentes. Uma vez no controle do quadro principal, os invasores podem substituir a URL com um novo script para ler informações de cookies e outros arquivos com dados pessoais do usuário.

Apesar das vulnerabilidades encontradas, Larholm ainda recomenda que o IE6 seja atualizado com o Service Pack 1.

"As brechas que existem no Service Pack 1 do IE 6 existem também nas versões 5.0, 5.5 e 6.0, mas as outras melhorias justificam a atualização", diz Larholm. Além disso, a falta de atenção às vulnerabilidades em outros navegadores não significa que eles sejam mais seguras", comenta o analista. "Mesmo com a alta taxa de bugs no Internet Explorer, falhas também existem em outros navegadores."

O Service Pack está disponível via Windows Update.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail