Patch para a grave falha do IE é lançada antes mesmo da MS divulgar a

[jgarcia 1]

Empresas de segurança corrigem falha grave do Internet Explorer antes da MS.

 

Determina e eEye divulgaram patchs para brecha no navegador que a Microsoft já anunciou corrigir apenas no dia 11 de abril.

 

Com a Microsoft dizendo que pode demorar até o dia 11 de abril para corrigir uma vulnerabilidade crítica em seu navegador Internet Explorer, a empresa de segurança eEye Digital Security divulgou o que foi chamado de pacote "temporário" para resolver o problema.

 

A falha, que contempla a maneira como o IE processa páginas usando o método "createTextRange()", está sendo explorada por hackers em centenas de sites maliciosos. O PC dos usuários que visitem esses sites pode ter um software instalado sem sua autorização, alerta a empresa de segurança.

 

Mesmo que a Microsoft tenha descrito os ataques como "limitados" em amplitude, o problema está sendo levado a sério pela gigante de software já que a falha pode ser usada para dar controle a terceiros da máquina do usuário.

 

"Estamos trabalhando dia e noite no desenvolvimento de uma atualização de segurança acumulativa para o Internet Explorer que corrija a vulnerabilidade", escreveu Stephen Toulouse, responsável pelo Centro de Segurança da Microsoft, em seu blog no sábado.

 

Espera-se que o patch seja lançado como parte da atualização de segurança do dia 11 de abril, a não ser que a ameaça cresça e o pacote seja divulgado antes, disse Toulouse.

 

A possibilidade que o período até a correção se estenda por mais duas semanas levou a eEye a divulgar um patch próprio, disse Marc Maiffret, o gerente de desenvolvimento corporativo. "É um tempo muito grande para deixar dezenas de milhões de usuários do Windows sem qualquer tipo de proteção".

 

A Microsoft disse que os usuários podem evitar os ataques desabilitando a função "Active Scripting" em seus navegadores, mas essa não é uma opção viável para muitos usuários que visitam sites que usam o script, disse Maiffret.

 

O pacote da eEye, disponível gratuitamente no site da companhia, será automaticamente removido quando o patch oficial da Microsoft for divulgado.

 

A companhia Determina divulgou um segundo pacote corrigindo o mesmo problema no IE. O patch, que também está disponível gratuitamente, pode ser encontrado no site da empresa de segurança.

 

Essa não é a primeira vez que um time de pesquisadores de segurança se apressa em divulgar um patch para IE antes da Microsoft. No final de dezembro, Ilfak Guilfanov, um profissional da DataRescue, na Bélgica, desenvolveu um patch amplamente divulgado para consertar uma falha similarmente crítica para o navegador.

 

Fonte: IDG NOW.

 

Link para a notícia original: aqui.

[Prog 183]

Ta virando moda. :)

[Tiago Santos 0]

Tá ficando irritante, isso sim. É o cúmulo uma empresa trabalhar pra lançar gratuitamente uma correção para uma falha de um programa de uma outra empresa. :angry:

[Fleury 3]

Se eles tivessem perguntado pro Geraldo antes, iso não teria acontecido...O foco deles agora não é o IE6... Com tantos projetos novos como a família Live e IE7, Windows Defender e etc, acho que o IE6 tá em um plano bem a baixo.Se eu fosse o manda chuva da Microsoft que fica encarregado disso, ia pensar assim...