Patch para a grave falha do IE é lançada antes mesmo da MS divulgar a

Empresas de segurança corrigem falha grave do Internet Explorer antes da MS.

 

Determina e eEye divulgaram patchs para brecha no navegador que a Microsoft já anunciou corrigir apenas no dia 11 de abril.

 

Com a Microsoft dizendo que pode demorar até o dia 11 de abril para corrigir uma vulnerabilidade crítica em seu navegador Internet Explorer, a empresa de segurança eEye Digital Security divulgou o que foi chamado de pacote "temporário" para resolver o problema.

 

A falha, que contempla a maneira como o IE processa páginas usando o método "createTextRange()", está sendo explorada por hackers em centenas de sites maliciosos. O PC dos usuários que visitem esses sites pode ter um software instalado sem sua autorização, alerta a empresa de segurança.

 

Mesmo que a Microsoft tenha descrito os ataques como "limitados" em amplitude, o problema está sendo levado a sério pela gigante de software já que a falha pode ser usada para dar controle a terceiros da máquina do usuário.

 

"Estamos trabalhando dia e noite no desenvolvimento de uma atualização de segurança acumulativa para o Internet Explorer que corrija a vulnerabilidade", escreveu Stephen Toulouse, responsável pelo Centro de Segurança da Microsoft, em seu blog no sábado.

 

Espera-se que o patch seja lançado como parte da atualização de segurança do dia 11 de abril, a não ser que a ameaça cresça e o pacote seja divulgado antes, disse Toulouse.

 

A possibilidade que o período até a correção se estenda por mais duas semanas levou a eEye a divulgar um patch próprio, disse Marc Maiffret, o gerente de desenvolvimento corporativo. "É um tempo muito grande para deixar dezenas de milhões de usuários do Windows sem qualquer tipo de proteção".

 

A Microsoft disse que os usuários podem evitar os ataques desabilitando a função "Active Scripting" em seus navegadores, mas essa não é uma opção viável para muitos usuários que visitam sites que usam o script, disse Maiffret.

 

O pacote da eEye, disponível gratuitamente no site da companhia, será automaticamente removido quando o patch oficial da Microsoft for divulgado.

 

A companhia Determina divulgou um segundo pacote corrigindo o mesmo problema no IE. O patch, que também está disponível gratuitamente, pode ser encontrado no site da empresa de segurança.

 

Essa não é a primeira vez que um time de pesquisadores de segurança se apressa em divulgar um patch para IE antes da Microsoft. No final de dezembro, Ilfak Guilfanov, um profissional da DataRescue, na Bélgica, desenvolveu um patch amplamente divulgado para consertar uma falha similarmente crítica para o navegador.

Fonte: IDG NOW.

Link para a notícia original: aqui.