| Vulnerabilidade no Internet ExplorerAlerta do CAIS 22112005 [CAIS, 22.11.2005-17:00, revisão 01]
O CAIS vem acompanhando desde 21 de Novembro a divulgação de uma falha no Internet Explorer da Microsoft, capaz de permitir a execução remota de código, inclusive em sistemas Windows que estejam com as últimas atualizações aplicadas.
A vulnerabilidade explora uma falha já conhecida na função Javascript "window()" que, quando utilizada em conjunto com a TAG HTML <body onload>, pode permitir a execução arbitrária de código no sistema afetado.
A gravidade desta vulnerabilidade se deve ao fato de não existirem correções disponíveis para esta falha até o momento, além da recente divulgação pública de código para a exploração da vulnerabilidade (proof-of-concept), que pode ser facilmente modificado para executar código malicioso no sistema da vítima.
A vulnerabilidade em questão não permite a elevação de privilégios no sistema afetado, e o usuário terá que ser persuadido a clicar em uma url especialmente criada por um atacante para que a falha possa ser explorada.
Sistemas afetados:
- Internet Explorer 5.01 Service Pack 4 instalado em Microsoft Windows 2000 Service Pack 4
- Internet Explorer 6 Service Pack 1 instalado em Microsoft Windows 2000 Service Pack 4
- Internet Explorer 6 Service Pack 1 instalado em Microsoft Windows XP Service Pack 1
- Internet Explorer 6 instalado em Microsoft Windows XP Service Pack 2
- Internet Explorer 6 instalado em Microsoft Windows Server 2003
- Internet Explorer 6 instalado em Microsoft Windows Server 2003 Service Pack 1
- Internet Explorer 6 instalado em Microsoft Windows Server 2003 para sistemas baseados em Itanium
- Internet Explorer 6 instalado em Microsoft Windows Server 2003 com Service Pack 1 para sistemas baseados em Itanium
- Internet Explorer 6 instalado em Microsoft Windows Server 2003 x64 Edition
- Internet Explorer 6 instalado em Microsoft Windows XP Professional x64 Edition
- Internet Explorer 5.5 Service Pack 2 instalado em Microsoft Windows Millennium Edition
- Internet Explorer 6 Service Pack 1 instalado em Microsoft Windows 98
- Internet Explorer 6 instalado em Microsoft Windows 98 SE
- Internet Explorer 6 instalado em Microsoft Windows Millennium Edition
Correções disponíveis:
- Não existem correções disponíveis para este problema até o momento.
Mitigação:
- Utilize um navegador alternativo, como o Opera ou Firefox (para este último, a extensão 'noscript' pode ser utilizada para permitir a execução de Javascript somente em sites escolhidos;
- Desabilite a opção de "Active Scripting" nas zonas de segurança Locais e de Internet do Internet Explorer;
- Configure as zonas de segurança Locais e de Internet para "alta" antes de executar qualquer "Active Scripting" nestas zonas;
- Restrinja o acesso do Internet Explorer para somente páginas confiáveis;
- Veja o alerta da Microsft [1] na seção abaixo para mais informações.
Mais informações:
Identificador CVE (http://cve.mitre.org): CVE-2005-1790
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.
O CAIS Alerta também é oferecido no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
|
Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
Assinatura dos Alertas do CAIS Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas. Formulário de assinatura dos Alertas do CAIS 
Contato com o Cais: +55 (19) 3787-3300
+55 (19) 3787-3301
cais@cais.rnp.br
Chave PGP pública do Cais |
