Foi encontrada uma vulnerabilidade no Microsoft XML Core Services que pode ser aproveitada por atacantes para executar códigos maliciosos remotamente no sistema afectado. De acordo com as notificações enviadas por diversas empresas de segurança, um atacante pode criar uma página HTML especificamente manipulada que ao ser activada pelo sistema infectado provocaria uma corrupção de memória no controlo ActiveX XMLHTTP 4.0, mais concretamente ao nível da função setRequestHeader, o que permitiria a execução de código arbitrário por parte de terceiros.
A falha já foi confirmada pela Microsoft que lançou uma notificação onde escreve que o erro já está a ser aproveitado por atacantes, através de sites maliciosos. Actualmente o erro está presente em todas as versões do Internet Explorer, incluindo a versão 7. O Windows 2000, o Windows XP Service Pack 2 e o Windows Server 2003 também fazem parte da lista dos sistemas afectados.
Por enquanto não existe correcção disponível para a falha em questão embora a Microsoft recomende algumas medidas de segurança, entre as quais a activação do kill bit para o controlo ActiveX, assim como a configuração do IE antes de utilizar o Active Scripting.
Prevê-se que a correcção deste erro esteja disponível no próximo patch release, marcado para a próxima terça-feira, dia 14 de Novembro.
Notícias Relacionadas:
2006-10-20 - Internet Explorer 7 tem falha de segurança no controlo anti-phishing
2006-10-11 - Microsoft corrige 26 falhas no boletim de segurança de Outubro
Pergunta do Dia
Em destaque
-
Multimédia
James Webb: dois anos de revelações cósmicas comemorados com imagem caótica fascinante -
App do dia
Dobre os cenários como um origami em Paper Trail para smartphones -
Site do dia
Utilize inteligência artificial para retocar imagens com o website ImageEditor.ai -
How to TEK
Cinco dicas essenciais para o Google Maps que facilitam a navegação
Comentários