A Microsoft publicou um informativo detalhando uma nova falha de segurança no Microsoft XML Core Services 4.0. A vulnerabilidade pode ser usada por um website malicioso para comprometer o sistema caso o usuário o visite utilizando o Internet Explorer. Como a falha está em um componente externo, tanto o IE6 como o IE7 devem ser afetados igualmente.

De acordo com o site SANS Internet Storm Center, já existe um código malicioso que explora a falha circulando na web que está sendo usado por hackers para instalar vírus e spyware em usuários de IE. A empresa de segurança Sunbelt-Software afirma que o código que explora a falha é limitado e pode não funcionar em alguns casos. A Sunbelt encontrou apenas um site obscuro utilizando a nova vulnerabilidade.

O componente afetado já teve um patch no mês passado, o MS06-061, mas instalar este patch não deve corrigir a nova falha. A falha presente no daxctle.ocx, encontrada em setembro, também ainda não foi corrigida. Correções para as duas falhas são esperadas dia 14 deste mês, quando a Microsoft deve liberar as demais correções para seus softwares.

Até lá, usuários podem se proteger desativando controles ActiveX. Isso pode ser feito da seguinte forma:

  1. Clique em Ferramentas -> Opções da Internet
  2. Clique na aba Segurança
  3. Certifique-se que Internet está selecionado
  4. Clique em Nível personalizado
  5. Procure a categoria ‘Plug-ins e controles ActiveX’
  6. Em Executar controles ActiveX e plug-ins, marque “Desativar”

Note que essa configuração pode fazer com que alguns sites não funcionem corretamente. Você pode adicionar sites que você visita com freqüência na lista de “Sites confiáveis”.

Navegadores alternativos, como o Firefox e o Opera, não suportam controles ActiveX e não são afetados pela falha. Navegadores baseados no IE, como Avant e NetCaptor, suportam ActiveX e ainda são vulneráveis.

Nota: O Microsoft XML Core Services não está instalado por padrão no Windows XP, porém outros serviços podem instalá-lo. Verifique no Adicionar/Remover Programas se o Core Services está instalado. Se não estiver, você não é afetado pela falha.

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Todos os posts Website