Repórter News - reporternews.com.br
Internet Explorer tem duas novas falhas graves
Duas novas brechas de segurança no navegador Internet Explorer 6 foram relatadas pela empresa Secunia. Consideradas "altamente críticas", as falhas podem comprometer o sistema ao permitir que terceiros acessem remotamente os recursos locais e ainda contornem uma característica de segurança no Windows XP com o Service Pack 2 (SP2) instalado.
Conforme o boletim da Secunia, uma das vulnerabilidades, descobertas e reportadas pelo hacker http-equiv, é variante de uma brecha de segurança já divulgada em agosto de 2004.
A falha é causada por um problema de validação no comando "arrastar e soltar" (drag and drop) durante a transferência de arquivos da Internet para recursos locais. Os arquivos podem ser de imagens válidas ou de multimídia com código HTML embutido. O bug pode ser explorado por meio de um site malicioso e pode permitir a execução de um código arbitrário na zona "Computador Local". De acordo com a empresa de segurança, o sistema Windows XP SP2 não permite a execução de controles Active X na zona "Computador Local".
A segunda vulnerabilidade está em um erro de limitação da zona da segurança. Um controle de ajuda HTML poderia ser inserido em um Web site que contenha referência a um arquivo índice (.hhk) especialmente preparado e, assim, executar um documento HTML local.
A falha também contorna a característica de bloqueio de segurança na zona Computador Local em sistemas Windows XP que tenham o SP2 instalados.
Caso as duas vulnerabilidades sejam exploradas em combinação com um comportamento inadequado em que o modelo ActiveX Data Object (ADO) possa escrever arquivos arbitrários, o sistema da vítima poderá ser comprometido. O problema foi confirmado em máquinas que rodam sistemas Windows atualizados, incluindo o XP com SP2, e o navegador Internet Explorer 6.0 instalado.
Como ainda não existe correção disponíveil, a Secunia aconselha os usuários a desativarem a opção Active Scripting do Internet Explorer, ou utilizarem navegadores alternativos.
Conforme o boletim da Secunia, uma das vulnerabilidades, descobertas e reportadas pelo hacker http-equiv, é variante de uma brecha de segurança já divulgada em agosto de 2004.
A falha é causada por um problema de validação no comando "arrastar e soltar" (drag and drop) durante a transferência de arquivos da Internet para recursos locais. Os arquivos podem ser de imagens válidas ou de multimídia com código HTML embutido. O bug pode ser explorado por meio de um site malicioso e pode permitir a execução de um código arbitrário na zona "Computador Local". De acordo com a empresa de segurança, o sistema Windows XP SP2 não permite a execução de controles Active X na zona "Computador Local".
A segunda vulnerabilidade está em um erro de limitação da zona da segurança. Um controle de ajuda HTML poderia ser inserido em um Web site que contenha referência a um arquivo índice (.hhk) especialmente preparado e, assim, executar um documento HTML local.
A falha também contorna a característica de bloqueio de segurança na zona Computador Local em sistemas Windows XP que tenham o SP2 instalados.
Caso as duas vulnerabilidades sejam exploradas em combinação com um comportamento inadequado em que o modelo ActiveX Data Object (ADO) possa escrever arquivos arbitrários, o sistema da vítima poderá ser comprometido. O problema foi confirmado em máquinas que rodam sistemas Windows atualizados, incluindo o XP com SP2, e o navegador Internet Explorer 6.0 instalado.
Como ainda não existe correção disponíveil, a Secunia aconselha os usuários a desativarem a opção Active Scripting do Internet Explorer, ou utilizarem navegadores alternativos.
Fonte:
InfoGuerra
URL Fonte: https://reporternews.com.br/noticia/370574/visualizar/
Comentários