O pacote de emergência, que deve ser divulgado nesta terça-feira (28/7), tem como alvo uma falha crítica no Internet Explorer e também corrigirá um bug relacionado ao ambiente de desenvolvimento Visual Studio - este último é classificado como 'moderado' pela Microsoft.
Durante a conferência de segurança Black Hat, que ocorre essa semana em Las Vegas, nos Estados Unidos, pesquisadores pretendem mostrar como quebrar o mecanismo de segurança utilizado para desativar os controles ActiveX que têm bug e não podem rodar no Windows.
Mark Dowd, Ryan Smith e David Dewey prometem explicar como burlar a proteção na quarta-feira (29/7). Um vídeo de Smith, já divulgado online, oferece uma prévia sobre a invasão, que permite a instalação de programas não autorizados no PC da vítima.
“A falha é um grande problema, porque você pode executar controles que não deveriam ser executados”, diz o gerente de tecnologia da Shavlik Technologies, Eric Schultze. “Então, se um site malicioso é visitado, o criminoso pode fazer o que quiser, mesmo que eu tenha uma correção”.
Segundo o pesquisador Halvar Flake, o bug também está relacionado a uma falha no ActiveX identificada pela Microsoft no início do mês, corrigida em outro pacote emergencial no dia 14 de julho. Uma vulnerabilidade mais profunda, contudo, não foi solucionada, o que dá espaço a mais ataques.
Uma porta-voz da Microsoft não especificou quantos controles ActiveX estão seguros por meio do mecanismo. A empresa não divulgará mais informações até que a correção seja lançada.
“Se você não aplicar este pacote, é como se tivesse desinstalado 30 correções de antes”, informou Schultze.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário