Total Security - www.totalsecurity.com.br
Gerais
Quarta - 29 de Março de 2006 às 07:34
Por: Birkoff

    Imprimir


Entre as falhas de segurança encontradas no IE nas últimas semanas, uma considerada altamente crítica tem sido alvo de diversos sites maliciosos. Enquanto a Microsoft ainda não produziu nenhuma correção para a falha, duas empresas lançaram suas soluções. * Leia nesta matéria da Total Security mais informações sobre as falhas.

Enquanto a Microsoft ainda não anunciou quando lançará uma correção para esta falha (o próximo pacote de correções está agendado para 11 de abril), duas empresas, Determina e eEye Digital Security, lançaram suas próprias correções (patches) para oferecer aos usuários do Internet Explorer uma solução.

A falha na função CreateTextRange do Internet Explorer já está sendo explorada em pelo menos 200 sites segundo a Websense, empresa que escaneia diariamente mais de 80 milhões de endereços da internet. A Microsoft indicou aos seus usuários que desativassem o suporte à Active Scripting como workaround (solução temporária) se não precisam dessa função. O problema é que a muitos usuários não tem conhecimento para executar essa desativação, e muito menos para saber se precisam ou não dessa função.

Charles Renert, diretor de segurança da Determina, falou ao site Security Focus: O workaround não resolve totalmente o problema. Workarounds desligam a funcionalidade... de certa forma, é como dizer que você pode desligar seu computador que não será afetado pela falha, mas esta não é uma boa solução em termos de continuidade de negócios.

Marc Mainffret, da eEye, afirmou que as correções são experimentais por natureza, e apenas devem ser consideradas como algo que pelo menos dê uma chance de lutar contra os sites maliciosos. Segundon afirmou Johannes Ullrich da SANS Institute, também para o site Security Focus, as correções lançadas por terceiros por enquanto são a única opção para quem não pode desativar a função de Active Scripting.

Veja aqui as correções lançadas pelas duas empresas:
* Determina
* eEye Digital Security




Fonte: Eu escrevi

Comentários

Deixe seu Comentário

URL Fonte: http://www.totalsecurity.com.br/noticia/1412/visualizar/