Microsoft emite aviso sobre falha de segurança no motor de scripts do Windows

20 mar 2003 11:53

Este artigo tem mais de 21 anos

Uma vulnerabilidade no componente de scripting de todas as versões do Windows permite que potenciais atacantes corram código através do motor de scripts como se tivesse executado localmente num PC, podendo assim tomar conta do sistema.

A Microsoft avisou ontem da existência de uma grave falha de segurança no motor de scripts de todas as versões do Windows que pode ser explorada para tomar o controlo de sistemas vulneráveis. No seu oitavo boletim de segurança desde o início de Março, a fabricante de software considerou essa vulnerabilidade existente na forma como o Windows Script Engine para o JScript - a versão da Microsoft do JavaScript - processa informação como sendo crítica.

Um potencial atacante poderá explorar o buraco de segurança utilizando uma página da Web maliciosa para enganar as vítimas e apoderar-se dos seus PCs. Isto porque, quando visitado pelo utilizador, a página poderá executar código com os privilégios do administrador da máquina. Essa página poderá estar alojada num site da Web ou enviada directamente ao utilizador através de uma mensagem de email.

As versões afectadas incluem o Windows 98, 98 Second Edition, ME, NT 4.0, NT 4.0 Terminal Server Edition, 2000 e Windows XP. O problema foi detectado no Windows Script Engine que executa código em forma
de scripts para acrescentar funcionalidades a páginas da Web ou para automatizar tarefas do sistema operativo ou de um programa.

A vulnerabilidade tem, no entanto, vários factores atenuantes. Para que um ataque tenha êxito, um utilizador vulnerável teria que visitar um site da Web sob o controlo do atacante ou receber um email em formato HTML do atacante. Os computadores configurados para removerem o scripting activo no Internet Explorer não são susceptíveis à falha.

Se for tentado um ataque através de uma mensagem de correio electrónico em HTML, a Microsoft afirma que esse email seria bloqueado pelo Outlook Express 6.0 e o Outlook 2002 nas suas configurações por padrão, e pelo Outlook 98 e 2000 se utilizados em conjunto com o Outlook Email Security Update. A gigante de software já disponibilizou códigos de correcção para todas as versões do Windows. Esta é a segunda vulnerabilidade da companhia a receber um alerta crítico esta semana.

Na segunda-feira, a Microsoft avisou que uma vulnerabilidade anteriormente desconhecida num componente do seu servidor Web Internet Information
Services (IIS) 5.0 permitia que atacantes comprometessem pelo menos o sistema informático de um cliente. Um representante do Exército dos Estados Unidos reconheceu na terça-feira que um servidor militar - mas não pertencente ao Exército - tinha sido o computador comprometido.

Notícias Relacionadas:
2002-11-21 - Software para a Web da Microsoft contém falha de
segurança grave