Notícias

Descoberta vulnerabilidade no IE

25 Comentários

Foi anunciado pela Microsoft que foi descoberta mais uma vulnerabilidade que afecta o browser desta empresa. De acordo com a empresa as versões 6, 7 e 8 estão vulneráveis a execução de código remoto que pode ser iniciada com a simples visita a uma página Web. Uma curiosidade que foi também detectada é que a versão 9, ainda em beta, não aparenta ser vulnerável a este ataque.

Foi ainda noticiado que este ataque visa principalmente a versão 6 deste browser, por ser uma versão mais antiga e com maior propensão para problemas. Há mais de 1 ano que a Microsoft tenta, sem sucesso, terminar a vida deste browser.


De acordo com a informação distribuída, este exploit actua quando o utilizador acede com o seu IE a um link que recebe via email. Ao aceder a esse link e depois de validado o browser em uso são direccionados para uma ultima página onde, caso estejam a usar uma qualquer versão do IE, é descarregado um ficheiro que infecta o PC. Depois de este estar infectado é aberto um backdoor e é iniciado um segundo processo de descarregamento de ficheiros.

A versão 8 do IE não está para já a ser afectada pois está protegida com medidas que impedem e protegem o browser. Em concreto, o DEP (data execution prevention) consegue prevenir a execução de código arbitrário de fontes externas. Os utilizadores que desactivaram esta função estão naturalmente sujeitos a este exploit. As versões 6 e 7 deste browser estão expostas por não terem qualquer medida de protecção, no caso do IE6, ou não terem a opção DEP activa por omissão.

A Microsoft emitiu um conjunto de recomendações com vista à protecção dos utilizadores dos seus browsers. Essas medidas passam pela actualização para a versão beta do IE 9, a confirmação da utilização do DEP no IE8, a activação do DEP na versão 7 do IE, a colocação no nível de segurança no valor máximo no IE6 e a leitura das mensagens de email em formato de texto.

Para a próxima terça-feira é esperado mais um pacote mensal de actualizações de segurança da Microsoft, mas é pouco provável que venha incluída a resolução deste problema.  No melhor dos casos esta actualização será disponibilizada na actualização do dia 14 de Dezembro.

Homepage: Microsoft Security Advisory

PUB
Autor: Pedro Simões
Partilhar:
Tags:

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Artigo anterior

Recupere o espaço ocupado pela instalação do Windows 7 SP1
Próximo artigo

Análise Microsoft Office 2011 para Mac
PUB

Comentários

25

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Weasel
    Weasel

    Enfim…ainda usarem IE 6

    Não vejo ninguém a usar o FireFox 1.0 (que é +/- da mesma altura que o IE 6)

    Contra a Ignorância e a Burrice não há solução.

    Responder
    1. Avatar de Carlos
      Carlos

      Nem sempre é uma questão de burrice, porque muita gente não tem a opção de instalar atualizações nenhumas de nada.

      Por exemplo, ainda recentemente estive a trabalhar num banco e o PC que me deram para trabalhar tinha o Windows XP ainda só com o SP2 e o IE6, sem possibilidade de instalar o que fosse. E com acesso total à Internet e a bases de dados de produção, por isso imaginem o que poderia acontecer se clicasse no tal link e tivesse o PC infetado…

      Hmmm… Pensando bem a frase inicial fica melhor “pode não ser burrice do utilizador…”, porque realmente burrice continua a ser.

      Responder
  2. Avatar de Ricardo Pereira
    Ricardo Pereira

    A Microsoft só perde com a existência deste browser e ainda mais com a sua existência como browser pré-definido no seu Windows.

    Vamos lá ver se abrem os olhos para o próximo Windows…Mas pelo que vejo, não vão abrir…Se criaram a versão 9, será para continuar…

    Enfim…

    Responder
    1. Avatar de Helder
      Helder

      Dah… A versão 9 não é afectada por este bug…

      Responder
      1. Avatar de Ricardo Pereira
        Ricardo Pereira

        E por acaso eu disse que a versão 9 foi afectada?!

        Em relação à versão 9, apenas disse que se foi criada é porque irá continuar como browser pré-definido no próximo Windows da Microsoft.

        Responder
        1. Avatar de kekes
          kekes

          Mas isso é normal… a MS não vai usar um browser da concorrencia como default…

          Responder
  3. Avatar de EacHTimE
    EacHTimE

    Incrivelmente o IE6 é o que a empresa para quem trabalho usa em todos os computadores por defeito. Enfim..

    O que vale é que uso o firefox para navegar à vontade e só uso o IE em casos estritamente necessários..

    Responder
  4. Avatar de Ricardo Elias
    Ricardo Elias

    Mais uma razao para deixarem o IE6. Muito provavelmente, a maioria dos seus utilizadores se encontram em empresas. Utilizadores normais, nao teem grandes razoes para usarem esta versao.

    Excelente artigo! Especialmente visto que sempre que se fala de (falhas de) Seguranca, a conversa gira sempre em criar panico em vez de explicar o problema e como resolve-lo.

    Fiquem Bem!

    Responder
  5. Avatar de Vítor M.
    Vítor M.

    Todos os dias saltam-nos à vista situações “complicadas” do ponto de vista da normalidade.

    Há dias (poucos dias) fui com um colega a uma empresa, uma daquelas gigantes mas em decadência, pois a situação do país está a levar à ruína muitas destas unidade fabris ligadas ao têxtil (mesmo estas que trabalham para a indústria automóvel).

    Esse meu colega tem uma empresa especializada em auditoria e outros serviços assessórios. Bom, quando entrei lá numa sala com uns 20 ou 30 postos de trabalho… máquinas com uns anos, Pentium’s 4 com 512 de RAM, Windows XP com as actualizações desligadas… e claro, tudo parou no Service Pack 1… Browser? Internet Explorer 6.

    Todos vão à net, segundo informações recolhidas numa breve conversa e não há “tesouraria” para máquinas novas nem nada que o valha e como está há milhares destas empresas (umas maiores outras mais pequenas)… mas tudo com esta realidade.

    Obviamente que se as máquinas estão a funcionar e chegam para o serviço para o qual foram adquiridas… fazer actualizações inutilizando as máquinas? E como se paga essa actualização do parque informático?

    Não é de admirar que este tipo de situações tendam a ser a realidade e o mercado (cá pelo menos) está a abrandar de uma forma colossal.

    Responder
    1. Avatar de Popus
      Popus

      Falem mal do IE6, mas a verdade é que não há muito o IE5 deixou de ser utilizado, pelo menos significamente nas estatísticas.
      http://en.wikipedia.org/wiki/Internet_Explorer
      Um dos grandes problemas não considero mesno as pessoas em casa ou nos seus portáteis, é mais essas empresas que deixam as suas máquinas antigas e sem actualizações, simplesmente estão com as actualizações aquando foi investido no produto. Já se sabe o tempo que as empresas levam para actualizarem o seu sistema informático. Por isso, não me ademira nada que cheguemos a 2015, ou até mais, ainda haverá máquinas a funcionar com o XP e o IE6. Com o “sucesso” que o XP teve, o tempo que durou sem mais novidades da M$, arrastou consigo o IE6, agora é o mesmo esperar até que esses sistemas fiquem mesmo obsoletos com a evolução da informação.

      Responder
  6. Avatar de Ryan
    Ryan

    Trabalho numa conhecida empresa multinacional que ainda usa o IE6 epa… se a MS quizesse mesmo acabar com esta versao acabaria. Mas eles preferem insistir nisto. Tao a espera do que?

    Responder
    1. Avatar de Ricardo Elias
      Ricardo Elias

      A melhor coisa para a Microsooft seria se as empresas deixassem de usar o IE6: nao teriam de manter uma versao ultrapassada e que so’ da’ dores de cabeca. Viste como o IE6 nem sequer tem forma de minimizar o ataque?

      O problema esta’ apenas na empresa e, provavelmente, no software que usam.

      Fiquem Bem!

      Responder
  7. Avatar de danissimo
    danissimo

    O problema é que a nivel empresarial há muitas ferramentas que só funcionam correctamente com o IE6.Por exemplo,certas versões de oracle siebel(largamente utilizado em CRM pelas maiores empresas)entre outras webapps usadas a nivel de empresas ligadas às IT’s que os backoffices so funcionam em IE6.Portanto…o exemplo tem que começar la em cima e so depois…é que se pode falar do utilizador final.Thats my point.

    Responder
  8. Avatar de N. Roque
    N. Roque

    “que pode ser despoletada com a simples visita a uma página Web”, a palavra “despoletada” significa exactamente o oposto do que é pretendido na frase.

    Responder
    1. Avatar de luis filipe
      luis filipe

      «De espoleta. Por vezes é erroneamente reconhecido no verbo o prefixo “des-“, alegando que a palavra na sua origem teria significado o contrário, ou seja prevenir o accionamento do disparo. Caso fosse esse o caso, a palavra teria o acréscimo de uma sílaba, ficando “des-espoletar”. O d- na origem da palavra é meramente uma adaptação fonética.»

      http://pt.wiktionary.org/wiki/despoletar 😀

      Responder
      1. Avatar de Carlos
        Carlos

        Não seria melhor, sei lá, usar um dicionário a sério?

        despoletar
        (de- + espoletar)
        v. tr.
        1. Desarmar a espoleta ou o detonador, impedindo a explosão. ≠ espoletar
        2. Fig. Retirar aquilo que permite uma acção. = anular, travar
        3. Fig. Fazer surgir. = desencadear, ocasionar

        Hmmmm… Parece que estão ambos certos, pode ser as duas coisas.

        Bem que o Herman dizia que a língua portuguesa é muito traiçoeira 🙂

        Responder
        1. Avatar de João Henriques
          João Henriques

          Não se deve usar “despoletar”. Aparece no dicionário porque as pessoas a utilizam com esse sentido. Mas erradamente. Óbvio que se todos usarem esta palavra para este fim (errado) acabará por ser alterado o seu significado. A tradição oral tem um poder muito grande sobre a evolução da escrita. A palavra “fixe”, entre outras, nem sequer existiam, mas a oralidade levou a que fossem incluídas no dicionário.

          Responder
        2. Avatar de Paulecas
          Paulecas

          @Carlos

          Repara que na transcrição que fazes, somente o 3º sentido atribuído ao verbo é aquele que geralmente as pessoas querem transmitir.

          Por definição (e tal como indica o dicionário que consultaste e qualquer bom dicinário), despoletar é o oposto de espoletar, sendo espoletar um sinónimo para desencadear/originar. Portanto, despoletar é precisamente o contrário daquilo que as pessoas geralmete pretendem dizer.

          Devido ao uso massivo (incorrecto) desse verbo, o dicionário que consultaste já atribui um 3º sentido à palavra que entra em contradição com os dois primeiros sentidos.

          Responder
  9. Avatar de Jose
    Jose

    Desculpem ser mal-criado, mas vão-se lixar 😀

    A falar de versões do IE do século passado, por amor de deus, so mesmo lixar a Microsoft.

    Também gostava de ver posts de vulnerabilidades do Firefox 1.0 já agora.

    Responder
    1. Avatar de a Friend®
      a Friend®

      Não se trata falar mal… trata-se de alertar porque é um facto ainda que o IE6 continua a ser muito usado e os updates completamente ignorados e dificultados.

      Tal como já foi referido, muitas empresas, bancos, etc, ainda usam o IE6.

      Firefox 1 já não, porque é um browser standalone, de fácil update, independentemente do SO que tenha.

      Responder
      1. Avatar de Carlos
        Carlos

        Nem por isso, experimenta atualizar o FX sem ser administrador que vais ver… Ou instalar, logo para começar.

        Responder
        1. Avatar de a Friend®
          a Friend®

          Mas isso é o menos. Ao passo que o IE já não, por ter uma serie de requisitos… ServicePack’s… verão do sistema operativo..e é claro, a sua forte integração com o Windows não permite grandes margens para, mesmo com direitos administrativos, actualizar.

          Por ex, o IE9 não dá para o XP, coisa que essas empresas são forçadas a comprar o sistema novo se querem estar asseguradas, e o XP, embora já velhinho ainda ser perfeitamente para os requisitos de muitas empresas. A Microsoft se se comprometeu com o mundo empresárial, não pode ser só para inglês ver… eles, muito mais que qualquer marca, deveriam assegurar um suporte mais longinquo dado esse factor.

          Responder
  10. Avatar de Dr. Orly
    Dr. Orly

    lol, tem piada falar de versão obsoletas. e quem as usa, não deve perceber mesmo nada de informática, até porque, a versão mais recente, é GRÁTIS!

    Responder
  11. Avatar de Só RIR
    Só RIR

    Se os bancos ou empresas continuam com o IE6 é problema deles…
    Que eu saiba as versões mais recentes são imagine-se…GRÁTIS.

    Responder
    1. Avatar de Popus
      Popus

      Que eu saiba, todos os IE’s foram grátis, e todos os outros browsers, o que levou ao fim do netscape.

      Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.