Empresas de segurança corrigem falha grave do Internet Explorer antes da MS
Por Robert McMillan, para o IDG Now!*
Publicada em 28 de março de 2006 às 16h36
Atualizada em 28 de março de 2006 às 16h43
São Francisco - Determina e eEye divulgaram patchs para brecha no navegador que a Microsoft já anunciou corrigir apenas no dia 11 de abril.
Com a Microsoft dizendo que pode demorar até o dia 11 de abril para corrigir uma vulnerabilidade crítica em seu navegador Internet Explorer, a empresa de segurança eEye Digital Security divulgou o que foi chamado de pacote "temporário" para resolver o problema.
A falha, que contempla a maneira como o IE processa páginas usando o método "createTextRange()", está sendo explorada por hackers em centenas de sites maliciosos. O PC dos usuários que visitem esses sites pode ter um software instalado sem sua autorização, alerta a empresa de segurança.
Mesmo que a Microsoft tenha descrito os ataques como "limitados" em amplitude, o problema está sendo levado a sério pela gigante de software já que a falha pode ser usada para dar controle a terceiros da máquina do usuário.
"Estamos trabalhando dia e noite no desenvolvimento de uma atualização de segurança acumulativa para o Internet Explorer que corrija a vulnerabilidade", escreveu Stephen Toulouse, responsável pelo Centro de Segurança da Microsoft, em seu blog no sábado.
Espera-se que o patch seja lançado como parte da atualização de segurança do dia 11 de abril, a não ser que a ameaça cresça e o pacote seja divulgado antes, disse Toulouse.
A possibilidade que o período até a correção se estenda por mais duas semanas levou a eEye a divulgar um patch próprio, disse Marc Maiffret, o gerente de desenvolvimento corporativo. "É um tempo muito grande para deixar dezenas de milhões de usuários do Windows sem qualquer tipo de proteção".
A Microsoft disse que os usuários podem evitar os ataques desabilitando a função "Active Scripting" em seus navegadores, mas essa não é uma opção viável para muitos usuários que visitam sites que usam o script, disse Maiffret.
O pacote da eEye, disponível gratuitamente no site da companhia, será automaticamente removido quando o patch oficial da Microsoft for divulgado.
A companhia Determina divulgou um segundo pacote corrigindo o mesmo problema no IE. O patch, que também está disponível gratuitamente, pode ser encontrado no site da empresa de segurança.
Essa não é a primeira vez que um time de pesquisadores de segurança se apressa em divulgar um patch para IE antes da Microsoft. No final de dezembro, Ilfak Guilfanov, um profissional da DataRescue, na Bélgica, desenvolveu um patch amplamente divulgado para consertar uma falha similarmente crítica para o navegador.
Compartilhe:
- DEL.ICIO.US
- GOOGLE BOOKMARKS
- TECHNORATI
- NETVIBES
- DIGG
IDG NOW! BUSCA:
Links patrocinados
ÚLTIMAS NOTÍCIAS DO IDG NOW!:
- 5 razões para ficar com o Windows XP
- Vendas do Snow Leopard superam em duas vezes a de seu antecessor
- Número de celulares habilitados no Brasil cresce 1,62% em agosto
- Camisetas para nerds são o suprassumo da moda geek
- Uma a cada cinco empresas nos EUA usa o Google Docs, diz IDC
- Presença de celulares em domicílios no Brasil cresce quase 5 vezes desde 2001
Celular zumbi
Celulares podem ser usados por novo código malicioso para ataques, alertam especialistas.
Da pescaria de senhas aos espiões de namoradas
Num mundo com mais de 6,8 bilhões de pessoas, quantas são hackers? Eis um clube exclusivo.
Links patrocinados






