A Microsoft colocou
online no seu site um código de correcção destinado a solucionar uma grave falha de segurança que descobriu no seu sistema operativo Windows Millenium Edition (ME) que poderá permitir a realização de intrusões nos computadores dos utilizadores, que correm assim o risco de ver os seus ficheiros eliminados por um atacante.

A vulnerabilidade, do tipo buffer run, foi descoberta no Centro de
Ajuda e Suporte do Windows ME que permite ao utilizador executar links usando o prefixo "hcp://" num link da Web em vez do tradicional "http://", para aceder a essa funcionalidade. Um atacante pode assim criar um URL falso que execute o código que pretender no computador da vítima, garantindo o acesso aos ficheiros locais, que podem ser acrescentados, modificados ou eliminados.

O link falso poderia ser colocado numa página da Web ou enviado por email ao destinatário pretendido. Em determinadas circunstâncias, o atacante poderia ordenar a um programa que se auto-executasse automaticamente enviando-o por correio electrónico.

Contudo, a gravidade dos ataques por email iria depender do
programa-cliente de correio electrónico empregue pelo utilizador. As pessoas que utilizam o Outlook Express 6.0 ou Outlook 2002 como sistemas de email por definição, ou ainda o Outlook 98 e 200 juntamente com uma actualização de segurança estariam protegidos dos ataques automáticos, embora permanecessem vulneráveis caso clicassem no link inserido na mensagem. Se o utilizador tiver optado por outro software, o ataque poderia ser desencadeado automaticamente.

Notícias Relacionadas:
2001-12-26 - Falha
de segurança no Windows XP provoca alerta do NIPC
2001-12-22 - eEye
descobre três vulnerabilidades de segurança no Windows XP
2000-09-30 - Componentes do Windows Me precisam de actualização