Home > Notícias

Microsoft divulga correção para brecha no IE pela terceira vez

Brecha, cuja correção falhou em agosto e que foi piorada com hotfix divulgado na semana passada, é finalmente corrigida, segundo eEye

Por Matthew Broersma, para o IDG Now!*

14/09/2006 às 11h08

Foto:

Brecha, cuja correção falhou em agosto e que foi piorada com hotfix divulgado na semana passada, é finalmente corrigida, segundo eEye

Entre os pacotes de correção distribuídos pela Microsoft nesta terça-feira está uma atualização para o Internet Explorer que está sendo distribuída pela terceira vez, graças a problemas que não foram corrigidos na primeira e segunda versão do patch, admitiu a companhia.

No mês passado, a consultoria eEye Digital Security alertou usuários que a atualização de segurança MS06-042, divulgada pela Microsoft em agosto, introduzia uma nova falha de segurança no navegador. A companhia respondeu à nova brecha divulgando uma "hotfix" que consertava a questão.

As duas companhias também travaram uma guerra verbal sobre o fato de a eEye ter divulgado a seriedade do problema introduzido pelo MS06-042.

Enquanto a Microsoft descreveu o problema como relativamente menor, envolvendo congelamentos de browser, a eEye descobriu que a brecha poderia ser explorada com códigos maliciosos.
A Microsoft, então, chamou a divulgação de "irresponsável" e removeu a eEye de sua lista de consultorias creditadas como parceiras.

Este, no entanto, não foi o fim da história: a eEye descobriu que o "hotfix" falhava na correção ao problema. A segunda atualização, divulgada nesta semana, corrige o problema ignorado pelo primeiro patch do patch, disse a Microsoft.

"Com a minuciosa atenção que este pacote recebeu, um pesquisador de segurança revelou a nós que uma vulnerabilidade similar também foi descoberta no Internet Explorer 5, no Internet Explorer 6 com Service Pack 1 (em um local diferente) e na versão original do Windows Server 2003", disse o diretor do grupo de produtos da Microsoft Tony Chor, no IE Blog.

"Este pacote e a necessidade de subseqüentes atualizações adicionais foram, absolutamente, uma experiência de aprendizado pra nós", acrescentou. "Este ciclo de atualizações não foi um exemplo do nosso melhor trabalho".

Também nesta semana, a Apple alertou que os usuários atualizem para uma nova versão do QuickTime que corrigiu um total de sete buracos de segurança. Atuais versões do QuickTime expõe usuários de Macs e PCs a sérias vulnerabilidades de segurança, disse a Apple.

A Apple alertou que o software multimídia é vulnerável a um ataque especialmente formatado em vídeos usando o codec H.264.

Os arquivos maliciosos podem forçar um ataque do tipo estouro de memória (do inglês, buffer overflow) que pode congelar a aplicação e permitir a execução de códigos maliciosos com privilégios de usuários, de acordo com a Apple.
Uma falha separada também pode ocasionar problemas e permitir a execução de códigos arbitrários, disse a Apple. Os bugs foram corrigidos na versão 7.1.3 do QuickTime, disponível no site da Apple.

*Matthew Broersma é repórter do TechWorld, em Londres

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail