Vulnerabilidade Zero-Day do IE é confirmada

A Vupen, empresa de pesquisa de dados sobre vulnerabilidade, confirmou na quarta-feira (06/01) o bug zero-day do Internet Explorer descoberto pelo pesquisador de segurança e funcionário do Google, Michal Zalewski.

Quer ficar por dentro de tudo o que acontece na comunidade de TI e telecom? Assine a nossa newsletter gratuitamente e receba, todos os dias, os destaques em sua caixa de e-mail

Segundo a companhia, as taxas de vulnerabilidade do IE8 rodando no Windows XP SP3 são consideradas como críticas. A vulnerabilidade também afeta o IE8 no Windows 7, Windows Server 2008 SP2 e R2, além do Windows Vista SP2 e Windows Server 2003 SP2. No patch o uso foi liberado.

De acordo com a companhia, o problema é causado por um erro de uso do mshtml.dll, permite que usuários mal intencionados manuseiem referências entre objetos JScript e Document Object Model (DOM), e executem o código arbitrário por meio de uma página web.

A Microsoft, entretanto, disse que as vulnerabilidades identificadas por Zalewski só apareceram com a terceira versão da sua ferramenta de difusão, que foi lançada em dezembro. Nesse ponto, a Microsoft solicitou que Zalewski atrasasse o lançamento de sua ferramenta de difusão para ter tempo para corrigir o erro.

Zalewski se recusou a realizar o lançamento da última versão de sua ferramenta de código-difusão, afirmando que os investigadores chineses de segurança – ou agressores – tinham sondado a vulnerabilidade descoberta pela ferramenta.

Veja mais:

Segurança: 5 dicas para ajudar na escolha da tecnologia  

 ð        Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.