Menos de 24 horas depois que um código prova de conceito foi publicado para explorar uma nova falha no Internet Explorer, a Microsoft publicou um alerta, confirmando a existência do bug.

A Microsoft diz que ainda não sabe de nenhum website que explora a falha.

A falha, existente em todas as versões do IE suportadas pela Microsoft, se utiliza de erros no gerenciamento de um objeto COM via ActiveX para executar código malicioso.

A prova de conceito, publicada pela SEC Consult, faz com que o Internet Explorer apenas seja travado. É possível, entretanto, que o bug vá mais além e permita execução de código remoto, ou seja, comprometer completamente um sistema desprotegido que visitar um site malicioso que explora a falha.

A Microsoft não gostou da atitude da SEC Consult ao disponibilizar a prova de conceito publicamente, pois isso coloca os usuários em risco. Em defesa, a SEC Consult disse que a Microsoft não confirmou a falha e, por este motivo, lançou publicamente o exploit para provar que a mesma existia.

Solução Temporária

Não há motivos para pânico, já que a falha ainda não está sendo explorada ativamente na Internet. Além disso, a prova de conceito apenas consegue travar o Internet Explorer e não consegue instalar quaisquer trojans ou executar códigos maliciosos.

Um patch para corrigir a falha deve ser disponibilizado assim que a Microsoft finalizar suas investigações. Até lá, a Microsoft avisa que você pode desabilitar o suporte a ActiveX para se proteger da falha.

Para fazer isso, basta clicar no menu Ferramentas, ir em Opções da Internet, selecionar a aba Segurança e ajustar o nível de segurança para Alto na Internet e na Intranet.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.