Moderador
Sexo: 
Idade: 35Registrado em: Sexta-Feira, 16 de Fevereiro de 2007
Mensagens: 5.311
Tópicos: 2.538
Localização: MG
Twitter: @limav
Grupos:
|
Pesquisador encontra falha crítica no protocolo DirectX usado no IE
O kit de desenvolvimento para DirectX divulgado pela Microsoft em 2002 contém uma vulnerabilidade crítica, um pesquisador polonês alega ter descoberto e divulgado código malicioso que pode seqüestrar micros com Windows ao forçar usuários a entrarem em sites com o Internet Explorer.
De acordo com Krystian Kloskowski, que publicou o código no site milw0rm.com, o controle FlashPix ActiveX integrado ao DirextX Media 6.0 SDK contém uma falha do tipo "estouro de memória" que pode ser explorada.
Mais importante, de acordo com um alerta divulgado pelo US-Cert, no domingo [12/08], "como o controle está classificado como seguro, o Internet Explorer pode ser usado como um vetor de ataque para esta vulnerabilidade".
A versão 6 do navegador pode sofrer ataques pela falha, notou Kloskowski, sem revelar se o IE7 também pode ser usado para o problema. A Microsoft não respondeu aos pedidos de resposta quanto à vulnerabilidade revelada por Kloskowski.
O cenário provável de ataque, descreveu o US-Cert, seria um site malicioso que integra o código malicioso, e links falsos que tentam forçar o clique do usuário.
Ao mesmo tempo, uma mensagem HTML (com o malware escondido) pode ser usada, o que faria com que a infestação acontecesse assim que o e-mail fosse recebido.
A consultoria Secunia classificou a brecha como "altamente crítica", o segundo posto no ranking de severidade composto por cinco níveis.
Já o US-Cert aconselhou usuários a desativar os controles ActiveX ou formatar o navegador da Microsoft para que impeça que o FlashPix altere o Registro do Windows.
Fonte: IDGNow
|
|
Portal
Fórum
FAQ
Pesquisar
Membros
Grupos
