Internet Explorer encontrada nova falha em ActiveX

Se já era senso comum que usar Internet Explorer não era seguro, ultimamente parece que uma nuvem negra se adensa por cima do browser da Microsoft.

A ultima falha encontrada consiste em mais um ataque de um componente de ActiveX denominado Shell.Application. Esta falha é similar aquela encontrada a algum tempo e que foi tão falada mundialmente, a falha do componente de ActiveX Download.Ject, também chamado JS.scob.trojan (pode ver a notícia associada ao Download.Ject aqui). Nesses ataques, o cracker entra em servidores de IIS de vários sites populares e utiliza-os para dissiminar Cavalos de Troia que registam o que tudo o que é teclado no computador da victima(os chamados keyloggers), tal como proxy servers e outros malwares.

No caso da falha do Download.Ject, a Microsoft lançou um patch que desactivava a componente de ActiveX que o provocava. Para essa nova, é de esperar que façam o mesmo, no entanto, ainda não saiu nenhum patch para o resolver.

A parte mais estranha, é que essa falha já é conhecida nos círculos das empresas de Segurança, e como tal da Microsoft também como é o principal afectado, desde Janeiro de 2004. É interessante ver como a Microsoft leva a peito essa sua nova política de segurança, para que 6 meses depois de ser anunciada a falha esta ainda estar por resolver. Ou será que tem tantas falhas não reveladas para tratar que não arranjam tempo para todas?

Devido a todos esses eventos, a CERT (the U.S. Computer Emergency Readiness Team), qualquer coisa como : equipa de emergência de computadores dos Estados Unidos, e outros profissionais recomendam que os utilizadores ponderem sobre o facto de mudarem de browser para algo como Mozilla, Opera ou FireFox.

Publicado por whispsil em julho 9, 2004 12:47 AM