Descobertas falhas de segurança no IE e software de messaging da Microsoft

12 jun 2002 11:42

Este artigo tem mais de 22 anos

Duas vulnerabilidades de segurança levaram a que a Microsoft emitisse avisos de segurança. A primeira refere-se a uma vulnerabilidade no cliente de Gopher do Internet Explorer, enquanto a outra diz respeito ao MSN Chat, MSN Messenger e Exchange Messenger.

A Microsoft emitiu ontem, terça-feira, dois avisos de segurança que revelam a existência de graves falhas de segurança no seu browser de navegação na Web, o Internet Explorer, bem como no MSN Chat, MSN Messenger e Exchange Messenger.

As vulnerabilidades referentes a este conjunto de software de messaging deveriam ter sido corrigidas por um código de correcção divulgado anteriormente.

O primeiro aviso de segurança envolve as versões 5.01, 5.5 e 6.0 do Internet Explorer, para além do Proxy Server 2.0 e do ISA Server 2000. A falha de segurança permite abrir uma janela utilizando um URL Gopher de modo a provocar um buffer overflow no cliente Gopher do browser.

Torna-se assim possível correr código malicioso sem qualquer intervenção do utilizador de modo a executar os programas que o atacante pretender abrir. Um link numa página da Web ou num email poderá levar um utilizador a um servidor Gopher malicioso.

A falha foi descoberta e tornada pública pela empresa finlandesa Oy Online na semana passada. A Microsoft lançou um conjunto de instruções detalhadas para os utilizadores "remendarem" temporariamente a vulnerabilidade até que a gigante de software desenvolva um código de correção do qual os utilizadores possam efectuar o download. Mas a empresa ainda não tem uma data prevista para o seu lançamento.

O segundo aviso refere-se ao software MSN Chat, MSN Messenger e Exchange Messenger. Os utilizadores destes programas foram aconselhados em Maio pela Microsoft a efectuarem o download de um código de correção para resolver uma falha de segurança.

Apesar de o patch funcionar, não protege o computador de vulnerabilidades renovadas no caso de os utilizadores transferirem versões anteriores do software. Esta falha permite que um atacante execute um programa no computador do utilizador.

Notícias Relacionadas:

2001-12-17 - Novo código de correcção para Internet Explorer 5.5 e 6 resolve três vulnerabilidades

2001-08-28 - Microsoft lança versão final de Internet Explorer 6

2001-04-02 - Mais uma falha de segurança no Internet Explorer

2001-03-29 - Vírus no Internet Explorer abre portas à pirataria informática

2000-11-03 - Microsoft lança upgrade para Internet Explorer 5.5