Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Microsoft divulga correção para brecha no IE pela terceira vez.
Brecha, cuja correção falhou em agosto e que foi piorada com hotfix divulgado na semana passada, é finalmente corrigida, segundo eEye.
Entre os pacotes de correção distribuídos pela Microsoft nesta terça-feira (12/09) está uma atualização para o Internet Explorer, distribuída pela terceira vez, graças a problemas que não foram corrigidos na primeira e segunda versão do patch, admitiu a companhia.
No mês passado, a consultoria eEye Digital Security alertou usuários que a atualização de segurança MS06-042, divulgada pela Microsoft em agosto, introduzia uma nova falha de segurança no navegador. A companhia respondeu à nova brecha divulgando uma "hotfix" que consertava a questão.
As duas companhias também travaram uma guerra verbal sobre o fato de a eEye ter divulgado a seriedade do problema introduzido pelo MS06-042.
Enquanto a Microsoft descreveu o problema como relativamente menor, envolvendo congelamentos de browser, a eEye descobriu que a brecha poderia ser explorada com códigos maliciosos.
A Microsoft, então, chamou a divulgação de "irresponsável" e removeu a eEye de sua lista de consultorias creditadas como parceiras.
Este, no entanto, não foi o fim da história: a eEye descobriu que o "hotfix" falhava na correção do problema. A segunda atualização, divulgada nesta semana, corrige o problema ignorado pelo primeiro patch do patch, disse a Microsoft.
"Com a minuciosa atenção que este pacote recebeu, um pesquisador de segurança revelou a nós que uma vulnerabilidade similar também foi descoberta no Internet Explorer 5, no Internet Explorer 6 com Service Pack 1 (em um local diferente) e na versão original do Windows Server 2003", disse o diretor do grupo de produtos da Microsoft Tony Chor, no IE Blog.
"Este pacote e a necessidade de subseqüentes atualizações adicionais foram, absolutamente, uma experiência de aprendizado pra nós", acrescentou. "Este ciclo de atualizações não foi um exemplo do nosso melhor trabalho".
Também nesta semana, a Apple alertou que os usuários atualizem para uma nova versão do QuickTime que corrigiu um total de sete buracos de segurança. Atuais versões do QuickTime expõe usuários de Macs e PCs a sérias vulnerabilidades de segurança, disse a Apple.
A Apple alertou que o software multimídia é vulnerável a um ataque especialmente formatado em vídeos usando o codec H.264.
Os arquivos maliciosos podem forçar um ataque do tipo estouro de memória (do inglês, buffer overflow) que pode congelar a aplicação e permitir a execução de códigos maliciosos com privilégios de usuários, de acordo com a Apple.
Uma falha separada também pode ocasionar problemas e permitir a execução de códigos arbitrários, disse a Apple. Os bugs foram corrigidos na versão 7.1.3 do QuickTime, disponível no site da Apple.
Fonte: IDG NOW.
Link para a notícia original: aqui.
Carregando comentários...
