Home > Notícias

Pacote de correção para atualização de segurança da Microsoft tem brecha

Consultoria eEye alerta que correção divulgada no começo da semana para falha no IE introduz brecha ainda mais grave no browser

Por Robert McMillan, para o IDG Now!*

23/08/2006 às 10h20

Foto:

Consultoria eEye alerta que correção divulgada no começo da semana para falha no IE introduz brecha ainda mais grave no browser

Ao invés de tornar seu navegador mais seguro, o pacote de atualização de segurança de agosto da Microsoft introduziu uma falha crítica no Internet Explorer, de acordo com pesquisadores da eEye Digital Security.

A Microsoft divulgou o pacote de correção, conhecido como MS06-42 em 8 de agosto, mas usuários reportaram diversos problemas com o software.

Navegadores corrigidos teriam problemas usando versões online de diversas aplicações, como exemplos da PeopleSoft, Siebel e Sage CRM. Páginas que usam compressão HTTP 1.1 para agilizar o download de imagens poderia fazer com que o navegador falhe.

Todas as brechas são descritas no site de suporte da Microsoft, enquanto informações atualizadas do MS06-042 está detalhado nos boletins de segurança da empresa.

Na semana passada, a Microsoft divulgou um download "hotfix" que corrigia estes problemas, mas, na terça-feira, a gigante planeja tomar a rara atitude de divulgar novamente toda a atualização MS06-042, garantindo que todos os usuários do Windows recebam automaticamente o código atualizado.

O que a Microsoft não contou a seus usuários, segundo a eEye, é que a falha que faz com que o navegador dê problema poderia também facilitar acessos não autorizados no PC da vítima.

"O que os usuários não sabem sobre o patch é que, quando a Microsoft o apresentou, a empresa realmente introduziu uma nova vulnerabilidade no navegador", disse o diretor de hacking da eEye Marc Maiffret. "Eles basicamente retalharam a atualização".

A consultoria de segurança descobriu o problema na última semana após checar mais de perto para o problema de erro, mas a companhia acredita que o buraco de segurança também é conhecido por outras empresas de segurança e crackers maliciosos.

"Os caras ruins basicamente sabem sobre a falha que este é um cenário vantajoso para eles", disse Maiffret.

Pesquisadores da eEye criaram um código para a falha sem correção ainda em seus laboratórios, mas Maiffret não sabe se o código foi divulgado pela internet. Caso a praga tenha vazado, há risco de que ocorra amplas infecções.

A eEye está encorajando administradores de TI a aplicarem a nova versão do MS06-042 assim que a Microsoft a divulgue.

*Robert McMillan é editor do IDG News Service, em São Francisco

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail