Uma falha do Internet Explorer pode ser explorada por um website para instalar código malicioso no computador do usuário. A falha ainda não possui uma correção (patch), mas já está sendo explorada por websites maliciosos para instalar spywares e cavalos-de-tróia. A falha afeta todas as versões do IE recentes, inclusive o IE6 no XP SP2.

Segundo a Microsoft, que publicou uma nota em seu site com recomendações, a falha foi descoberta inicialmente em maio, quando foi considerada uma falha de baixo risco, pois só causava o travamento do navegador.

Na segunda-feira da semana passada, dia 21 de novembro, crackers do grupo britânico Computer Terrorism publicaram um código que explora essa mesma falha para executar código malicioso no sistema. A Microsoft publicou a nota em seu site para avisar os usuários e criticar o grupo por não informá-la que a falha era mais grave do que se esperava.

Uma semana depois disso, nessa segunda-feira (28/11), pesquisadores da Sunbelt Software encontraram na web um site que explora essa falha para instalar um pacote de spywares no computador do usuário usando o código divulgado no dia 21.

O único meio de evitar essa falha, enquanto o patch não é divulgado, é desabilitando-se a execução de Javascript. Isso pode ser feito clicando-se em Ferramentas -> Opções da Internet no Internet Explorer e, sem seguida, clicando na aba Segurança e ajustando-se o nível de segurança da zona Internet para Alto.

Alguns sites podem funcionar incorretamente depois dessa configuração. Esses sites podem ser movidos temporariamente para a zona de “Sites Confiáveis” até que a correção seja lançada e você possa voltar a navegar na Internet com o nível de segurança médio.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

43 Comments

  1. “O único meio de evitar essa falha, enquanto o patch não é divulgado, é desabilitando-se a execução de Javascript”

    Ou usar o FireFox…

    Curtir

  2. Rafael Azevedo 01/12/2005 às 16:48

    Em que parte do site da Microsoft eles publicam essas “notas” com avisos aos usuários sobre falhas críticas ainda não corrigidas?

    Curtir

  3. Este é só mais um exemplo de como as coisas na Microssft são feitas de qq jeito… é um lixo….

    Curtir

  4. Eduardo Fleury 01/12/2005 às 16:59

    Uma solução melhor do que a apresentada (desligar o JavaScript) é usar o FireFox (getfirefox.com) ou outro navegador não afetado.

    Curtir

  5. Eu uso o Maxthon há mais de 1 ano e nunca tive problema algum. Dá de 10 x 0 no IE
    Microsoft sux

    Curtir

  6. Renato Branco 01/12/2005 às 17:15

    Ok, a falha é explorada com a execução de um script em java. O que impede do firefox executar esse script e não ser atacado? O que acontece se eu estiver navegando e entrar em uma página destas com o firefox?

    Curtir

  7. tiago alisson 01/12/2005 às 17:18

    quem vai pagar por esses danos quer sofrermos

    Curtir

  8. A microsoft é boa, porém existem pessoas que não sabem usar seu tempo com coisas mais interessantes. Por isso é bom ter 2 tipos de anti-vírus no computador e um programa de antispyware.

    Curtir

  9. Isaac

    O Maxthon usa a engine do IE e portanto também é afetado pela falha. O mesmo pode ser dito das versões novas do Netscape e Avant.

    Renato Branco

    É javascript, não java. Sendo javascript, cada navegador possui seu próprio meio de processar códigos javascript. Por isso, o Firefox não é vulnerável às falhas que o IE é e vice-versa. Dificilmente alguma falha em Javascript afeta ambos os navegadores.

    Se fosse Java, todos os navegadores usam o runtime da Sun, fazendo com que todos estejam vulneráveis, mas não é o caso aqui.

    Curtir

  10. Casimiro Barreto 01/12/2005 às 17:33

    Os códigos da Microsoft carregam a maldição do legado e da ganância desmesurada.

    A maldição do legado reflete-se na necessidade de manter funcionalidades e compatibilidades com códigos do início dos anos 1980. Tudo bem se tal compatibilidade fosse garantida em máquinas virtuais, com a proteção de um sandbox. Infelizmente isto não ocorre: está tudo no kernel, no sistema operacional… isso faz com que seja piece of cake violar modelos de memória e executar código malicioso em modo protegido…

    A maldição da ganância se reflete de duas formas: de um lado querem incorporar funcionalidades no núcleo do sistema operacional que garantam que produtos desenvolvidos pela concorrência sejam menos competitivos. Isso é, no mínimo, anti-ético. Na segunda forma, muito mais grave, através da manutenção de “back-doors” que permitem que sejam verificados acessos a “sites malignos” (warez, serialz, hacks, cracks, etc…) e outras coisas mais.

    E eu já ia esquecendo do problema da vaidade: eles querem afirmar que a “solução de SO é completa” e acabam incluindo uma tonelada de tralhas que deveriam estar no nível de aplicação dentro do SO… aí vem os exploits de ActiveX, Javascript, etc… etc… etc…

    O fato é que MS Windows é coisa do século passado e os usuários já merecem produtos com tecnologia para o século XXI.

    Abraços,

    Casimiro

    Curtir

  11. Se vcs não querem correr riscos de invasões etc…

    A unica solução é não utilizar mais a internet. Pois sempre vai existir uma breja para pgms maliciosos.

    Curtir

  12. Como dito aqui é melhor mudar de navegador (firefox é muito melhor). Se eles não podem alocar um único funcionário para verificar e corrigir a falha imaginem o que ainda está por vir…

    Curtir

  13. a microsoft ainda nao tem nenhuma previsão para corrigir este erro no IE.??

    e quanto aos outros navegadores eles sofrem com este mesmo defeito, ou este é só mais um defeito do Ruindows??

    Curtir

  14. Casimiro Barreto 01/12/2005 às 17:47

    Infelizmente, possivelmente a questão não seja a alocação de um funcionário. Dado o tipo de responsabilidade a que estão sujeitos (especialmente nos USA que tem um sistema jurídico/social baseado no litígio) devem estar com diversos funcionários encarregados do caso. O nó é como fazer uma correção que não introduza mais erros e que não cause problemas de compatibilidade com outras aplicações (inclusive legados).

    Curtir

  15. Fabio R Bulgaron 01/12/2005 às 17:54

    “O fato é que MS Windows é coisa do século passado e os usuários já merecem produtos com tecnologia para o século XXI. Casimiro”

    Concordo plenamente. Está na hora de desenvolver algo mais poderoso e eficiente do que a bosta do RUIndows. Precisamos de um sistema interativo, que participe das decisões em ambientes onde o usuário é um complemento para a máquina.

    Parece Final Fantasy, não?! mas é a pura realidade e a tendência.

    Fabio

    Curtir

  16. Julio Dalge 01/12/2005 às 18:05

    A simples execução de um bloqueador de javascript malicioso, como o do McAfee 8.0, não deveria ser suficiente para resolver o problema do IE?

    De qualquer modo, sigo usando o Firefox.

    Curtir

  17. Desculpe mas a afirmação de que a Microsoft é boa me faz pensar que, talvez, o papai noel também exista. Boa somente enquanto o dinheiro entra. Mas quando somos prejudicados por um de seus programas, não somos ressarcidos em nada. Por sorte, uso o Firefox….

    Curtir

  18. Gente, vocês só reclamam.
    Alguém já parou para pensar quantas vulnerabilidades tem no outros browsers ?
    Reclamões !!

    Curtir

  19. “A Microsoft publicou a nota em seu site para avisar os usuários e criticar o grupo por não informá-la que a falha era mais grave do que se esperava.”

    Hahaha, era só o que faltava né? É como eu te criticar por não me informar que os socos que eu dava em você doiam.

    Curtir

  20. É o absurdo!!!!!!! Aonde vamos parar ?? Deveriamos todos parar de usar esta ferramenta!

    Curtir

  21. Não é que IE sejá Ruim, a questão é que existem pessoas que não tem nada pra fazer, e fica criando e procurando alguma brecha pra atacar, o que a eva disse é verdade, ter 2 anti-viros difetentes e antispyware, e bom, mais não devemos confia muito. por isso espero que a Microsoft ache uma solução, pois sempre ira aparecer falhas.

    Curtir

  22. Eu uso o firefox … nunca tive problemas com spyware e codigos maliciosos …

    mas fora isso, ele funciona da mesma maneira que o IE …
    Não tem nada de tão melhor como dizem hehe … algumas paginas aparecem de maneira errada ateh, mas nada mto grave

    Curtir

  23. jorge Mário Batista silva 01/12/2005 às 18:51

    realmente o uso do Firefox seria uma solução para usuário com receio de que a segurança de suas informações estão comprometidas.
    melhor seria sempre verificar o gerenciador de tarefas
    aquele executavél estranho ou 2 com o mesmo nome ou parecido.

    Curtir

  24. Concordo com o comentário da Eva, o resto é dor de cotovelo.

    Curtir

  25. Nunca irá existir navegador 100% confiável ou perfeito.Quando se aperta o botão para iniciar a navegação o computador está sujeito a tudo.

    Curtir

  26. 1° – O Maxthon utiliza exatamente o mesmo engine do IE. Não é um programa novo mas uma “Cara” diferente para o IE, com alguns recursos a mais. Por tanto possui as mesmas vulnerabilidades do IE.

    2° – O Firefox também é uma bomba, possui falhas. Muitos estão usando ele por modismo. Usam por um mês dois e acabam voltando ao IE.

    3° – O Windows também é uma bomba, mas 90% de quem o critica em relação ao Linux, usa o Windows 90% do tempo.

    4° – Estão querendo deixar o Linux tão parecido com o Windows que ele já está tão pesado quando ou até mais que o Windows (No ambiente gráfico)

    5° – Se você não gosta do Windows ou do Linux ou do Mac, simplesmente não use! Por que ficar discutindo sempre a mesma porcaria…

    Curtir

  27. Markus Guerra 01/12/2005 às 20:25

    Use o Opera, não existe naveagador melhor!!!
    Podem confiar

    Curtir

  28. alexandre siciliano 01/12/2005 às 21:26

    Esta falha estava ocorrendo repetidamente em meu navegador, travando a pagina, obrigando a fechar o I Explorer repetidamente.
    Uma solução me foi apresentada pela M icrosoft, a qual utilizei e até agora o problema não se repetiu. Justamente ocorria quando tinha que ser carregadas páginas pesadas e sempre dos mesmos sites.
    A recomendação foi ir ao menu de “opções da internet”, atraves do IE ou do Painel de Controle, em “Avançadas” DESABILITAR na parte “Navegação” a opção “Ativar extenções de navegador de terceiros”.

    Curtir

  29. Casimiro e outros.
    Se não fosse Bill Gates e a Micrososft, talvez voce não estivesse navegando como agora. Falar mal é fácil, porque voce não vai lá e resolve o problema? Com falhas ou se falhas, sem a Microsoft talvez nem tivessemso tanto avanço na internet. Veja que os problemas são diretamente proporcionais…Se eu tenho 500milhões de usuários, a probabilidade de que eu seja atacado é bem maior do que se eu tivesse 5 milhões de usuários.Pense um pouco amigo. Voce só escreveu nesse site graças ao pioneirismo de Gates. Sensatez faz parte da vida.

    Curtir

  30. Usar 2 anti-vírus + anti-spyware + anti-worn+ anti-bugs da M$, parece uma boa idéia. Usando tudo isso, mais um Windows Vista que só roda num supercomputador parece uma ótima idéia, já que vc só vai rodar isso mesmo, pq pra usar o computador não vai sobrar hardware. Eu não sei qual a vantagem disso. Quanto a quem diz que o Linux é mais pesado, já ouviu falar de fluxbox ou window-maker? Roda até num 486 e se vc for louco deixa ele com a cara do XP. Mas cada um faz com seu pc o que quiser, se vc tem dinheiro sobrando pra comprar o melhor pc do mercado e ver ele funcionando pior do que minha lata velha, o problema é seu…..

    Curtir

  31. Uso o IE, no Sistema Operacional Windows Me, com anti-vírus AVG free + Zone Alarm (Firewall) com Anti-Spyware.

    Para garantir mais ainda a minha segurança coloquei o Ad-Aware SE e o Spybot, Ufa , quanta cois !!!

    Já tive muitos problemas com cavalos de tróia e outros spywares, mas a partir de então com essa combinação de programas não tive mais invasores !!

    Curtir

  32. Normildo Oliveira 01/12/2005 às 22:08

    Primeiro temos que admitir que todos os navegadores tem problemas, uso o Firefox mas sei que ele tem problemas sérios que simplesmente até agora não foram descobertos porque a turma do Quebra Quebra prefere se concentrar no aplicativos da Microsoft. Eu uso Mac OSX, naum tenho dúvidas de que é melhor do que o Windows (está instalado há 1 ano e meio e nunca precisei formatar o Hd e reinstalar o sistema), tem menos brechas até por questão de arquitetura, e é muito menos vulnerável a vírus, mas sei que se a turma se empenhar também vão achar brechas.

    Curtir

  33. Joao Carlos Santos 01/12/2005 às 23:10

    O Sonho destes programadorzinhos frustrados é usar o cerebro para criar virus para descobrir vulnerabilidades e rezam para a MICROSOFT descobri-lo e contrata-lo com os salarios milionários.

    Se fossem tão bom quanto querem aparecer, criariam soluções e ganhariam muito dinheiro, assim como a maioria dos seres inteligentes e responsaveis o fazem.

    Curtir

  34. Para que ficar quebrando a cabeça com o MSIE? O Firefox, disponivel para Windows em http://www.mozilla.com é um dos melhores browsers que já usei e, até hoje, nunca me causou maiores problemas. E os desenvolvedores do Firefox são MUITO mais transparentes do que a Microsoft jamais poderá ser. Quando problemas aparecem, eles corrigem, ao invés de culpar as pessoas responsáveis pela descoberta das mesmas vulnerabilidades. Respeito o Firefox por seu browser excelente, pela transparência de sua equipe de desenvolvimento, e por sua aderência aos padrões de programação e marcação X/HTML.

    Curtir

  35. Rafael

    a microsoft ainda nao tem nenhuma previsão para corrigir este erro no IE.??

    O mais tardário deve ser dia 13/12, quando sai o resto dos patches de dezembro. Mas devido a gravidade da falha, pode ser lançado um antes dessa data.

    Alex

    É como eu te criticar por não me informar que os socos que eu dava em você doiam.

    Existe um consentimento entre muitos (mas não todos) pesquisadores de segurança que o desenvolvedor deve ser avisado antes que detalhes sobre uma falha sejam publicados.

    Se todos os detalhes de uma falha forem publicados antes que o desenvolvedor seja avisado, sempre haverão falhas sem correção e os usuários serão colocados em risco.

    Curtir

  36. Não há programas sem falhas, mas no caso dos programas MS, em especial o Internet Explorer, o que prejudica é que a MS não se preocupa em corrigir as falhas que foram descobertas, ao contrário da fundação Mozilla, criadora do Firefox.

    Consultando sites de segurança como o Secunia, por exemplo, é possível notar que 89 falhas de segurança já foram descobertas durante a vida da linha 6 do Internet Explorer, e que 21 dessas ainda não foram corrigidas. É válido notar que boa parte delas estão classificadas como sendo de alto risco já faz um bom tempo.
    Link => http://secunia.com/product/11/

    Comparativamente, durante todo o periodo de vida da linha 1 do Firefox apenas 25 falhas foram encontradas e dessas somente 3 ainda não tem correção. Acontece aqui que essas falhas sem correção são de nível mínimo, ou seja, não oferecem riscos.
    Link => http://secunia.com/product/4227/

    Outro aspecto interessante é que a MS tenta esconder suas falhas e torce para que não apareçam, da outra ponta temos a Fundação Mozilla que chega a pagar $ 500.00 (quinhentos dólares) por bug encontrado no Firefox, de modo a incentivar que pessoas tentem achar falhas. Quanto maior o número de falhas encontradas no Firefox, melhor o produto fica, pois a Mozilla as corrige.
    Link => http://www.mozilla.org/press/mozilla-2004-08-02.html

    Com relação a algumas páginas aparecerem desfiguradas no Firefox não é culpa dele não, pelo contrário, é mérito. Apesar de a maioria esmagadora de desenvolvedores WEB não conhecerem, o desenvolvimento WEB é regido por normas, HTML, CSS, JavaScript, etc, são mais que tecnologias, são padrões documentados e normatizados.

    No entanto, numa interessante jogada para dominar o mercado de navegadores, a MS optou por incluir em seus produtos suporte a estas tecnologias diferentemente do que os padrões regem. E o pior é que a MS ajudou a criar esses padrões.

    O Firefox, no entanto, tenta ao máximo seguir a padronização definida pelos órgãos reguladores, de modo então que se o site não aparece corretamente nele, não é sua culpa, mas é porque o site foi mal construído.

    A normas para desenvolvimento WEB podem ser encontrados nos sites do World Wide Web Consortium (W3C – http://www.w3.org/ ) e do ECMA (http://www.ecma-international.org/publications/standards/Standard.htm , procurar por script).

    Note-se que se o desenvolvedor criar seu site utilizando o FrontPage, o que é bem comum, ele com certeza criará um site que NÃO segue a padronização, pois o MS FrontPage, e o MS Internet Explorer, são da mesma empresa e utilizam os mesmos códigos desfigurados.

    Fica claro então que ambos os navegadores têm falhas, contudo fica evidente que a fundação Mozilla tenta corrigir ao máximo os bugs, tento um produto sólido e eficiente, enquanto que a Microsoft espera que alguém explore um bug para então pensar em corrigí-lo.

    Curtir

  37. realmente….naum sabia q existiam esses empeccilios no IE , mas a unica coisa q eles sempre fazem eh arrumar uma soluçao em qq tempo…..tipo…demora um ano mas saiu um patch q t ajuda em alguma coisa mas ate ai já tem muitas gente correndo atrás do prejuizo e assim por adiante….
    e assim caminha a humanidade./….
    vamos ver ate qdo dura o windows….
    fui….é só…
    paz…

    Curtir

  38. Pô galera vamos usar a cabeça, pense um pouco antes de falar… a mozilla paga alguém aí pra fazer propaganda??? ou trabalham de graça??? infelizmente o mundo é capitalista!!! seria ótimo ter tudo de graça, não??? então, acho que demorou dos cabeças pensantes aí, que criticam a MS, de desenvolverem um SO estável, rápido, seguro, escalável.. bla bla bla e que disponibilize no mercado a custo 0, fácil não??? Se acha o Windows ruim, faça um melhor, simples!!
    Não estou defendendo ngm, mas é mto fácil falar…
    Na minha humilde opinião, quem critica tem que ao menos ter a capacidade de superar o criticado… então galera.. vamos lá desenvolvam um navegador 100% seguro!!! aposto que farão fortuna rapidamente…
    falhas sempre vai existir… sempre!!!!!!

    Quem quiser trabalhar com desenvolvimento a custo 0 é só avisar!! hehehe

    Curtir

  39. Não adianta chorar. O Windows e o IE serão sempre mais visados e as falhas vão sempre surgir, porque este sistema é um frankenstein. Agora, achar que Firefox e outros navegadores são seguros é pura ilusão. Mesmo em SOs menos visados, como Linux, MacOS, etc, acessar a internet sem proteções adequadas é sempre um risco. Tem de usar anti-virus bom, confiável e atualizado sempre. E firewall (sabendo usar, não só instalando e deixar lá). Monitorar portas é uma boa política. Não tem jeito, não. É uma grande zona e o mundo está cheio de fdps.
    É igual a transar. Tem que usar sempre camisinha.

    Curtir

  40. osvaldo Schrodinger 01/12/2005 às 23:59

    O SO Windows acaba de completar 20 anos. 20 anos!!!!! de insegurança, de telas azuis e de táticas aéticas da Microsoft para dominar o mercado. A Microsoft tem a maior lucratividade do mundo de TI, tem um império, milhares de engenheiros de software….. e poe a culpa nos hackers que não a avisaram de que o produto dela estava (continuava) inseguro…….
    Para demolir com a Netscape, sua principal concorrente nos anos 90, a MS integrou o Internet Explorer ao Windows, de uma maneira atabalhoada e insegura e até hoje não conseguiu desfazer os bugs resultantes desta integração.
    Se uma fábrica de automóveis produzisse carros com a qualidade do Windows/IE, já estaria falida há muito tempo.
    Solução? Usar Linux, ou pelo menos, desinstalar o IE e o Outlook e usar FireFox e ThunderBird.

    Curtir

  41. =======================
    O Sonho destes programadorzinhos frustrados é usar o cerebro para criar virus para descobrir vulnerabilidades e rezam para a MICROSOFT descobri-lo e contrata-lo com os salarios milionários.

    Se fossem tão bom quanto querem aparecer, criariam soluções e ganhariam muito dinheiro, assim como a maioria dos seres inteligentes e responsaveis o fazem.
    =======================

    Uma coisa eu lhe garanto: eles são melhores (ou, no mínimo, mais empenhados) que os programadores da Microsoft, disso eu tenho certeza! heheheheheheh

    De fato, não concordo com a criação de problemas, mas, por outro lado, tem seu lado positivo: eles “forçam” as melhorias. E confie em mim, em matéria de produtividade, talvez muitos hackers sejam mais eficientes do que muitos programadores ganhando uns míseros trocados, principalmente nesse nosso Brasilsão! Ops! Talvez eles sejam esses hackers, tão bons, mas tão mal aproveitados…. cadê a mente inteligente para tirar proveito disso? enquanto isso, perdemos riquezas com cérebros desperdiçados…

    Curtir

  42. Thiago H Neto 02/12/2005 às 00:48

    As soluções de desenvolvimento da Microsoft são boas…
    O Sql, Visual Developer, VB são ferramentas que algum de vcs já usaram com certeza…

    Mais o que acontece é o seguinte: Hoje não é em todo lugar que tem trinamento de Linux (por exemplo), o cara que tem uma empresa grande com muitos funcionarios usando Windows, não vai querer trocar de SO por nada!…. Ficaria muito caro… Esta é minha opnião, mais eu não tenho muita experiência em Informatica, são 7 anos, que acredito que para muitos de vcs não seje nada, tenho 14 anos….

    Na minha opnião, hj uma mudança de SO seria cara, cara para as empresas, sendo assim, não convem fazer esta mudança…

    Mais a Microsoft tá exagerando… o Windows Vista vai ser um SO muito grande (aproximadamente 7gb), vai ser necessário uma placa de video potente pra ele poder ser instalado…
    Acho que eles deviam melhorar a linha de SO deles mais fazendo sistemas bons e pequenos, porque para o Vista muita gente também vai ter que invertir bastante dinheiro….

    Curtir

Comentários encerrados.