Enviar artigo por e-mail:
Faltam caracteres
Sair
Descobertas falhas de segurança no IE e software de messaging da Microsoft
Publicado por Casa dos Bits às 12.42h no dia 12 de Junho de 2002 | 0 comentários
A Microsoft emitiu ontem, terça-feira, dois avisos de segurança que revelam a existência de graves falhas de segurança no seu browser de navegação na Web, o Internet Explorer, bem como no MSN Chat, MSN Messenger e Exchange Messenger.
As vulnerabilidades referentes a este conjunto de software de messaging deveriam ter sido corrigidas por um código de correcção divulgado anteriormente.
O primeiro aviso de segurança envolve as versões 5.01, 5.5 e 6.0 do Internet Explorer, para além do Proxy Server 2.0 e do ISA Server 2000. A falha de segurança permite abrir uma janela utilizando um URL Gopher de modo a provocar um buffer overflow no cliente Gopher do browser.
Torna-se assim possível correr código malicioso sem qualquer intervenção do utilizador de modo a executar os programas que o atacante pretender abrir. Um link numa página da Web ou num email poderá levar um utilizador a um servidor Gopher malicioso.
A falha foi descoberta e tornada pública pela empresa finlandesa Oy Online na semana passada. A Microsoft lançou um conjunto de instruções detalhadas para os utilizadores "remendarem" temporariamente a vulnerabilidade até que a gigante de software desenvolva um código de correção do qual os utilizadores possam efectuar o download. Mas a empresa ainda não tem uma data prevista para o seu lançamento.
O segundo aviso refere-se ao software MSN Chat, MSN Messenger e Exchange Messenger. Os utilizadores destes programas foram aconselhados em Maio pela Microsoft a efectuarem o download de um código de correção para resolver uma falha de segurança.
Apesar de o patch funcionar, não protege o computador de vulnerabilidades renovadas no caso de os utilizadores transferirem versões anteriores do software. Esta falha permite que um atacante execute um programa no computador do utilizador.
As vulnerabilidades referentes a este conjunto de software de messaging deveriam ter sido corrigidas por um código de correcção divulgado anteriormente.
O primeiro aviso de segurança envolve as versões 5.01, 5.5 e 6.0 do Internet Explorer, para além do Proxy Server 2.0 e do ISA Server 2000. A falha de segurança permite abrir uma janela utilizando um URL Gopher de modo a provocar um buffer overflow no cliente Gopher do browser.
Torna-se assim possível correr código malicioso sem qualquer intervenção do utilizador de modo a executar os programas que o atacante pretender abrir. Um link numa página da Web ou num email poderá levar um utilizador a um servidor Gopher malicioso.
A falha foi descoberta e tornada pública pela empresa finlandesa Oy Online na semana passada. A Microsoft lançou um conjunto de instruções detalhadas para os utilizadores "remendarem" temporariamente a vulnerabilidade até que a gigante de software desenvolva um código de correção do qual os utilizadores possam efectuar o download. Mas a empresa ainda não tem uma data prevista para o seu lançamento.
O segundo aviso refere-se ao software MSN Chat, MSN Messenger e Exchange Messenger. Os utilizadores destes programas foram aconselhados em Maio pela Microsoft a efectuarem o download de um código de correção para resolver uma falha de segurança.
Apesar de o patch funcionar, não protege o computador de vulnerabilidades renovadas no caso de os utilizadores transferirem versões anteriores do software. Esta falha permite que um atacante execute um programa no computador do utilizador.
Notícias recomendadas :
2001-12-17 - Novo código de correcção para Internet Explorer 5.5 e 6 resolve três vulnerabilidades
2001-08-28 - Microsoft lança versão final de Internet Explorer 6
2001-04-02 - Mais uma falha de segurança no Internet Explorer
2001-03-29 - Vírus no Internet Explorer abre portas à pirataria informática
2000-11-03 - Microsoft lança upgrade para Internet Explorer 5.5
Notícias relacionadas :
2005-07-20 - Falha de segurança no processamento de imagens afecta Internet Explorer e Messenger
2004-08-09 - Futura versão de messenger da Microsoft dispensa instalação de software
2004-04-14 - Megapatchs da Microsoft resolvem 20 falhas de segurança críticas no Windows
2004-03-11 - Microsoft divulga falha no MSN Messenger que permite acesso a disco rígido
2002-05-10 - VeriSign e AOL juntas para o lançamento de instant messaging encriptado
RSS