Empresas de segurança corrigem falha grave do Internet Explorer antes da MS
Por Robert McMillan, para o IDG Now!*
Publicada em 28 de março de 2006 às 16h36
Atualizada em 28 de março de 2006 às 16h43
São Francisco - Determina e eEye divulgaram patchs para brecha no navegador que a Microsoft já anunciou corrigir apenas no dia 11 de abril.
Com a Microsoft dizendo que pode demorar até o dia 11 de abril para corrigir uma vulnerabilidade crítica em seu navegador Internet Explorer, a empresa de segurança eEye Digital Security divulgou o que foi chamado de pacote "temporário" para resolver o problema.
A falha, que contempla a maneira como o IE processa páginas usando o método "createTextRange()", está sendo explorada por hackers em centenas de sites maliciosos. O PC dos usuários que visitem esses sites pode ter um software instalado sem sua autorização, alerta a empresa de segurança.
Mesmo que a Microsoft tenha descrito os ataques como "limitados" em amplitude, o problema está sendo levado a sério pela gigante de software já que a falha pode ser usada para dar controle a terceiros da máquina do usuário.
"Estamos trabalhando dia e noite no desenvolvimento de uma atualização de segurança acumulativa para o Internet Explorer que corrija a vulnerabilidade", escreveu Stephen Toulouse, responsável pelo Centro de Segurança da Microsoft, em seu blog no sábado.
Espera-se que o patch seja lançado como parte da atualização de segurança do dia 11 de abril, a não ser que a ameaça cresça e o pacote seja divulgado antes, disse Toulouse.
A possibilidade que o período até a correção se estenda por mais duas semanas levou a eEye a divulgar um patch próprio, disse Marc Maiffret, o gerente de desenvolvimento corporativo. "É um tempo muito grande para deixar dezenas de milhões de usuários do Windows sem qualquer tipo de proteção".
A Microsoft disse que os usuários podem evitar os ataques desabilitando a função "Active Scripting" em seus navegadores, mas essa não é uma opção viável para muitos usuários que visitam sites que usam o script, disse Maiffret.
O pacote da eEye, disponível gratuitamente no site da companhia, será automaticamente removido quando o patch oficial da Microsoft for divulgado.
A companhia Determina divulgou um segundo pacote corrigindo o mesmo problema no IE. O patch, que também está disponível gratuitamente, pode ser encontrado no site da empresa de segurança.
Essa não é a primeira vez que um time de pesquisadores de segurança se apressa em divulgar um patch para IE antes da Microsoft. No final de dezembro, Ilfak Guilfanov, um profissional da DataRescue, na Bélgica, desenvolveu um patch amplamente divulgado para consertar uma falha similarmente crítica para o navegador.
Compartilhe:
- DEL.ICIO.US
- GOOGLE BOOKMARKS
- TECHNORATI
- NETVIBES
- DIGG
IDG NOW! BUSCA:
Links patrocinados
ÚLTIMAS NOTÍCIAS DO IDG NOW!:
- Telefônica: audiência pública da Câmara discutirá falhas em serviços
- Terra limita rede de acesso Wi-Fi grátis para assinantes de banda larga
- Novo game de Harry Potter chega às lojas brasileiras em 10 de julho
- Microsoft encerra Web Messenger
- Prefeitura de São Paulo lança portal para estimular adoção de animais
- Telefônica não cobrará taxa de rescisão do Speedy nos próximos 90 dias
Links patrocinados
Brasil no rastro dos golpes
Delegado da Polícia Federal detalha novo sistema para analisar golpes por e-mail no País.
Roubo de senhas
Denny Roger relata as técnicas mais utilizadas para roubo de senhas. Saiba como proteger a sua.
Links patrocinados









