FVAL Online - Qualidade com simplicidade

Uma nova vulnerabilidade no Internet Explorer foi descoberta por crackers que já divulgaram um código que pode ser usado para atacar o popular navegador da Microsoft.

A vulnerabilidade é similar ao bug que a Microsoft corrigiu no mês passado em um componente multimídia do Internet Explorer, de acordo com Vicent Hwagm diretor do grupo de produtos do time de Resposta de Segurança da Symantec.

Mesmo que a amostra que explora a brecha tenha sido publicada por crackers no site xsec.org nesta quarta-feira, a Symantec ainda não registrou ataques que usem o código, de acordo com Hwang.

Para se aproveitar do código de exploração, crackers precisariam primeiro enganar o usuário para a reprodução de uma página com malware integrado, para que pudessem então rodar códigos não autorizados no micro do usuário.

Não está claro até agora quais versões do IE e do sistema Windows são afetadas pela brecha. Pesquisadores da Secunia disseram que conseguiram criar uma amostra maliciosa "em funcionamento" para a última versão do Windows XP rodando o Internet Explorer 6. Usuários do Windows 2000 também estão vulneráveis, disse a Secunia.

Pesquisadores de segurança da Microsoft não estavam disponíveis para comentar a questão, mas um porta-voz da empresa disse que o problema estava sob investigação.

A Symantec classificou o bug como "crítico", enquanto a Secunia o considera "extremamente crítico", seu nível de classificação mais severo.

Os crackers do site xsec.org se referiram ao código como um ataque ainda sem correção, tecnicamente chamado de "Dia0". Mas um cracker bastante conhecido disse que a falha não era difícil de se encontrar usando ferramentas de segurança públicas, como o software aXMan ActiveX.

"Chamar de falha ainda não descoberta era uma questão de tempo", disse HD Moore, o líder do projeto Metasploit, por e-mail.

Moore escreveu uma ferramenta automática de testes em ActiveX chamada AxMan que descobriu diversos bugs no IE, incluindo um explorado pelo xsec.org. Mesmo que Moore tenha lançado recentemente um projeto chamado "Mês dos Bugs em Browsers", em que divulgava uma falha de segurança em navegadores por dia durante julho, eles disse ter se contido para divulgar esta vulnerabilidade específica.

"Esta é uma de muitas falhas exploráveis que podem ser descobertas com o AxMan e acabei não a incluindo no projeto por ser facilmente atacada", disse. "Ainda tenho três ou quatro no Internet com impactos similares".

Esta é a segunda falha sem correção que a Microsoft está concentrada em corrigir atualmente. No começo do mês, crackers começaram a explorar uma vulnerabilidade no software corporativo Word.