Microsoft alerta sobre vulnerabilidade no Internet Explorer

A primeira vulnerabilidade envolve uma falha na manipulação do conteúdo e nos campos do cabeçalho, no tipo do conteúdo em um fluxo HTML. Nestes campos, a URL sendo um host, os dados do próprio arquivo determinam com que ele seja dirigido e levado pelo Internet Explorador. Uma vulnerabilidade de segurança existe porque, se um hacker alterar o cabeçalho da HTML as informações de um certo modo, poderiam ser possíveis que o IE acredite que um arquivo executável seja de fato um tipo com extensão diferente quesimplesmente abra sem perguntar para o usuário sobre qualquer confirmação. Isto poderia permitir um hacker criar uma página ou correio de HTML que, quando abrisse, correria automaticamente um executável no sistema do usuário. Este vulnerabilidade afeta apenas o IE 6.0 só não afeta IE 5.5.

A segunda vulnerabilidade é uma variante recentemente descoberta do “Frame Domain Verification” discutido no Microsoft Security Bulletin MS01-015. A vulnerabilidade poderia habilitar um operador local de rede que abriria duas janelas do browser, um com o domínio do local de rede e o outro no arquivo local do usuário, e passar informação posterior para o anterior. Isto poderia permitir que o operador local de rede pudesse ler, mas não fazer mudança de qualquer arquivo no computador local do usuário, que poderia abrir umajanela do browser. Este vulnerabilidade afeta ambos o IE 5.5 e 6.0.

A terceira vulnerabilidade envolve uma falha relacionada à exibição de nomes de arquivo no ?Arquivos para Download? na caixa de diálogo. Quando é feito um download de um arquivo, um diálogo provê o nome a ele. Porém, em alguns casos, seria possível para um hacker falsificar o nome do arquivo no diálogo. Isto poderia ser enviado de um site ou em um e-mail de HTML em uma tentativa para que algumas pessoas desatentas aceitem todos os tipos de arquivo inseguros. Esta vulnerabilidade afeta ambos o IE 5.5 e 6.0.