Foi encontrada uma vulnerabilidade no Microsoft XML Core Services que pode ser aproveitada por atacantes para executar códigos maliciosos remotamente no sistema afectado. De acordo com as notificações enviadas por diversas empresas de segurança, um atacante pode criar uma página HTML especificamente manipulada que ao ser activada pelo sistema infectado provocaria uma corrupção de memória no controlo ActiveX XMLHTTP 4.0, mais concretamente ao nível da função setRequestHeader, o que permitiria a execução de código arbitrário por parte de terceiros.
A falha já foi confirmada pela Microsoft que lançou uma notificação onde escreve que o erro já está a ser aproveitado por atacantes, através de sites maliciosos. Actualmente o erro está presente em todas as versões do Internet Explorer, incluindo a versão 7. O Windows 2000, o Windows XP Service Pack 2 e o Windows Server 2003 também fazem parte da lista dos sistemas afectados.
Por enquanto não existe correcção disponível para a falha em questão embora a Microsoft recomende algumas medidas de segurança, entre as quais a activação do kill bit para o controlo ActiveX, assim como a configuração do IE antes de utilizar o Active Scripting.
Prevê-se que a correcção deste erro esteja disponível no próximo patch release, marcado para a próxima terça-feira, dia 14 de Novembro.
Notícias Relacionadas:
2006-10-20 - Internet Explorer 7 tem falha de segurança no controlo anti-phishing
2006-10-11 - Microsoft corrige 26 falhas no boletim de segurança de Outubro
Pergunta do Dia
Veja também
Em destaque
-
Multimédia
Telescópio Hubble mostra nova perspetiva da “grande aranha” do Espaço -
App do dia
Carrot Care quer ajudar a organizar resultados de análises e contribuir para melhorar a saúde -
Site do dia
Quanto sabe sobre as cidades do mundo? Teste o conhecimento num quiz fotográfico -
How to TEK
Cansado do look “default” do iPhone? Saiba como mudar rapidamente o aspecto
Comentários