Página Inicial



twitter

Facebook

  Notícia
|

 

BUG CRÍTICO NO INTERNET EXPLORER É CONFIRMADO PELA MICROSOFT

19/09/2012

A Microsoft emitiu nesta segunda-feira, 17/9, um alerta de segurança para ataques explorando um bug não corrigido no Internet Explorer. A empresa afirma já estar trabalhando em uma correção para o problema.

O aviso faz referência a vulnerabilidade ?zero-day? ? o que significa que foi descoberta e explorada antes de um ?patch? estar disponível ?  encontrada e divulgada pelo pesquisador Eric Romang durante o fim de semana. Na segunda-feira, 17/9, a organização de código aberto Metasploit publicou um módulo de exploração da falha, pressionando a Microsoft a agir rapidamente.

?Recebemos relatórios sobre poucos ataques direcionados e estamos trabalhando para desenvolver uma atualização de segurança para resolver este problema?, disse Yunsun Wee, diretor do grupo de Trustworthy Computing da Microsoft, no blogue do Microsoft Security Response Center.

Todas as versões do navegador são afetadasp pelo bug, com exceção do IE10, que vem com o Windows 8. Isso inclui o IE6 de 2001, IE7 de 2006, IE8 de 2009 e IE9 do ano passado. Juntos, estes browsers são responsáveis por 53% de todos navegadores em uso no mundo em Agosto.

O alerta da Microsoft era esperado, segundo Andrew Storms, diretor de operações de segurança da nCircle Security. 

Explorar a falha permite que hackers possam executar código ? colocar malware em uma máquina ? e abrir o Windows XP, Vista e Windows 7 para ataques ?drive-by? que exigem apenas que as vítimas visitem um site malicioso ou comprometido.

Até que uma correção esteja disponível, a Microsoft recomenda que os usuários do IE bloqueiem os ataques com o EMET 3.0 (Exploit Mitigation Experience Toolkit), aumentando as configurações de segurança do IE para ?alta? e configurando o browser para exibir um aviso antes de executar ?scripts?.

Como EMET é uma ferramenta concebida para usuários avançados, principalmente de empresas profissionais de TI, que permite ter manualmente tecnologias anti-exploração como ASLR (address space layout randomization) e DEP (data execution prevention) para aplicações específicas, nem todos os analistas de segurança concordam que ele seja a melhor opção para os leigos.

?O [EMET] tem o seu lugar mas acho que a maioria das pessoas prefere a correção do problema?, disse Storms. ?O EMET é uma dessas ferramentas que leva tempo para implantar, [por isso] não é uma boa ideia tentar usá-lo. É como uma espécie de processo auto-destrutivo. A Microsoft gostaria de ter mais pessoas usando o EMET, mas diante do pequeno volume de [ataques de] zero dias e a relativa rapidez em remendar as coisas, a necessidade de EMET parece menor?.

Embora a Microsoft diga  estar empenhada em resolver a vulnerabilidade do IE, não há indícios de que vá disponibilizar uma atualização ?out-of-band?, fora do horário mensal regular conhecido por Patch Tuesday. E o próximo Patch Tuesday só deve ocorrer no dia 9 de Outubro. Portanto,, três semanas a contar de hoje.

A Microsoft ficará mais propensa a libertar uma atualização de emergência se os ataques aumentarem ou se não tiver uma maneira mais fácil de defender o IE do que o EMET. ?Se conseguirem fornecer uma Fixit, eles o farão?, disse Storms, falando sobre as ferramentas automatizadas que a Microsoft muitas vezes cria para configurar as definições do software. ?Isso iria [aliviar] um pouco da pressão para ter um ?patch? mais rápido. Se eles não conseguirem fazer um Fixit e se os ataques aumentarem, então teremos um ?out-of-band??.

Como evitar

Uma alternativa para evitar comprometer o sistema é parar de usar o IE até que a Microsoft corrija o problema. Ontem, o chefe de segurança da Rapid7, HD Moore, aconselhou as pessoas a mudarem, ainda que temporariamente, para o Google Chrome ou para o Mozilla Firefox.

?Estava à espera de uma resolução mais fácil e menos intrusiva?, disse Storms. ?A minha sensação é que a Microsoft está trabalhando algumas horas extras  para lançar este [patch] rapidamente?.

O EMET 3.0, a ferramenta que a Microsoft sugeriu para os usuários, pode ser baixada do site da empresa. Mais informações sobre o EMET podem ser encontradas no documento de suporte.

 
 
 
Fonte: PcWorld

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar