Foi encontrada uma vulnerabilidade no Microsoft XML Core Services que pode ser aproveitada por atacantes para executar códigos maliciosos remotamente no sistema afectado. De acordo com as notificações enviadas por diversas empresas de segurança, um atacante pode criar uma página HTML especificamente manipulada que ao ser activada pelo sistema infectado provocaria uma corrupção de memória no controlo ActiveX XMLHTTP 4.0, mais concretamente ao nível da função setRequestHeader, o que permitiria a execução de código arbitrário por parte de terceiros.



A falha já foi confirmada pela Microsoft que lançou uma notificação onde escreve que o erro já está a ser aproveitado por atacantes, através de sites maliciosos. Actualmente o erro está presente em todas as versões do Internet Explorer, incluindo a versão 7. O Windows 2000, o Windows XP Service Pack 2 e o Windows Server 2003 também fazem parte da lista dos sistemas afectados.



Por enquanto não existe correcção disponível para a falha em questão embora a Microsoft recomende algumas medidas de segurança, entre as quais a activação do kill bit para o controlo ActiveX, assim como a configuração do IE antes de utilizar o Active Scripting.



Prevê-se que a correcção deste erro esteja disponível no próximo patch release, marcado para a próxima terça-feira, dia 14 de Novembro.

Notícias Relacionadas:

2006-10-20 - Internet Explorer 7 tem falha de segurança no controlo anti-phishing

2006-10-11 - Microsoft corrige 26 falhas no boletim de segurança de Outubro