FALHA NO INTERNET EXPLORER 8 PERMITE QUE HACKERS CONTROLEM O NAVEGADOR

Uma falha no Internet Explorer 8 permite que hackers tomem o controle do navegador por meio de códigos arbitrários, de acordo com publicação feita pelo site Zero Day Initiative. No entanto, para que o ataque seja feito, o internauta precisa acessar um site infectado ou abrir um arquivo malicioso.

Segundo o Zero Day Initiative, os criminosos digitais também conseguem instalar programas no computador da vítima por meio da falha no browser. Para isso, são executados códigos JavaScript seguidos de uma CollectGarbage. A vulnerabilidade fica na linha de objetos CMarkup.

A Microsoft está ciente da falha desde novembro de 2013, de acordo o site. Em fevereiro deste ano a falha no Internet Explorer 8 foi oficialmente confirmada e no começo de maio o Zero Day comunicou que divulgaria o problema caso ele não fosse solucionado, o que aconteceu no final do mês.

No dia 9 de abril, a companhia de Redmond informou que uma correção para o problema seria disponibilizada em até 180 dias. “Continuamos a trabalhar para corrigir esse problema e liberaremos um update de segurança quando estiver pronto, para ajudar a proteger os clientes”, informou a Microsoft.

“Não vai ser fácil reproduzir a vulnerabilidade com base apenas nesse alerta”, declarou o pesquisador de segurança Peter Van Eeckhoutte, que revelou a brecha para ao site. O Zero Day Initiative paga pesquisadores independentes por informações sobre falhas de segurança diversas.

Por padrão, todas as versões do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem e-mails HTML na zona restrita de sites. Isso desabilita os scripts e controles ActiveX, o que reduz a chance de hackers terem êxito na execução de códigos maliciosos que dão a eles o controle do navegador.

Além disso, o Internet Explorer é executado em modo restrito no Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2. Dessa forma ele tem as configurações de segurança reforçadas, o que diminui as chances de infecção.

No começo de maio, a Microsoft liberou uma atualização que corrigiu uma falha similar. Presente em todas as versões do Internet Explorer, a vulnerabilidade permitia a execução de códigos remotos quando o internauta acessava um site malicioso. O update foi liberado até para Windows XP, sistema que a empresa não oferece mais suporte.

Fonte: Baboo

• Sobre
• Últimos Posts

Siga me

Ricardo Galossi

É um apaixonado por segurança da informação, atua profissionalmente há mais de 7 anos na área de tecnologia da informação, onde é focado em análise de vulnerabilidades e testes de invasão.Criou o blog Guia do TI para compartilhar conhecimento, ajudar os mais novos, incentivar debates e manter a comunidade atualizada com as principais notícias da área de TI.

Siga me

Últimos posts por Ricardo Galossi (exibir todos)

• Metasploit Framework de cabo a rabo – Parte 6 - 4 de junho de 2018
• Metasploit Framework de cabo a rabo – Parte 5 - 28 de maio de 2018
• CEH – Scanning Networks – Parte 2 - 24 de maio de 2018