Home > Notícias

Pesquisadores explicam como explorar falha no Internet Explorer

Grupo descobriu como burlar mecanismo que desativa controles ActiveX com bugs que não deveriam rodar no sistema operacional Windows.

IDG News Service

28/07/2009 às 8h36

Foto:

A Microsoft foi forçada a anunciar correções emergenciais para o sistema operacional Windows na sexta-feira (25/7) porque pesquisadores descobriram como burlar um mecanismo crítico de segurança no navegador Internet Explorer.

O pacote de emergência, que deve ser divulgado nesta terça-feira (28/7), tem como alvo uma falha crítica no Internet Explorer e também corrigirá um bug relacionado ao ambiente de desenvolvimento Visual Studio - este último é classificado como 'moderado' pela Microsoft.

Durante a conferência de segurança Black Hat, que ocorre essa semana em Las Vegas, nos Estados Unidos, pesquisadores pretendem mostrar como quebrar o mecanismo de segurança utilizado para desativar os controles ActiveX que têm bug e não podem rodar no Windows.

Mark Dowd, Ryan Smith e David Dewey prometem explicar como burlar a proteção na quarta-feira (29/7). Um vídeo de Smith, já divulgado online, oferece uma prévia sobre a invasão, que permite a instalação de programas não autorizados no PC da vítima.

“A falha é um grande problema, porque você pode executar controles que não deveriam ser executados”, diz o gerente de tecnologia da Shavlik Technologies, Eric Schultze. “Então, se um site malicioso é visitado, o criminoso pode fazer o que quiser, mesmo que eu tenha uma correção”.

Segundo o pesquisador Halvar Flake, o bug também está relacionado a uma falha no ActiveX identificada pela Microsoft no início do mês, corrigida em outro pacote emergencial no dia 14 de julho. Uma vulnerabilidade mais profunda, contudo, não foi solucionada, o que dá espaço a mais ataques.

Uma porta-voz da Microsoft não especificou quantos controles ActiveX estão seguros por meio do mecanismo. A empresa não divulgará mais informações até que a correção seja lançada. “Se você não aplicar este pacote, é como se tivesse desinstalado 30 correções de antes”, informou Schultze.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail