Uma das falhas corrigidas na versão 1.5.0.1 do Firefox já pode ser explorada para executar códigos maliciosos, pois está disponível publicamente na web um código capaz de explorar a falha em sistemas Mac e Linux. Enquanto isso, a Microsoft está investigando uma nova falha no formato WMF que afeta versões antigas do Internet Explorer.
Exploits — códigos para explorar vulnerablidades — para a falha do Firefox no “location.QueryInterface()” em Mac e Linux foram publicadas nos sites milw0rm, Metasploit e FrSIRT. O bug permite que um atacante execute códigos no sistema com as permissões do usuário do navegador.
A vulnerabilidade, detalhada no boletim MFSA2006-04, havia sido considerada “Moderada”. Após a publicação do exploit, a Fundação Mozilla modificou o boletim, que agora possui uma classificação “Crítica”.
Uma versão do exploit para Windows ainda não foi publicada.
A Microsoft, por sua vez, está ocupada com uma nova falha no formato Windows Metafile. Apesar de grave, a falha só afeta versões antigas do Internet Explorer.
Sistemas atualizados que tiverem Internet Explorer 6 instalado não são afetados pela nova falha, que a Microsoft detalha em uma nota de segurança publicada ontem em seu site.
Na nota, a Microsoft afirma que a falha afeta o Internet Explorer 5.01 SP4 no Windows 2000 e o Internet Explorere 5.5 SP2 no Windows ME. A falha não afeta o Windows XP nem Internet Explorer 6.
A recomendação para se proteger é a mesma para os usuários de ambos os navegadores: instalar a versão mais atual do software o mais breve possível.
Linha Defensiva 