Microsoft: IE5, IE6 também afetada pela vulnerabilidade do navegador

Uma vulnerabilidade não corrigida encontrada no Internet Explorer 7 também afeta versões mais antigas do navegador, bem como a última versão beta, alertou a Microsoft.

As novas informações ampliam o pool de usuários que correm o risco de se infectar inadvertidamente com softwares mal-intencionados instalados no PC, pois a Microsoft ainda não tem um patch pronto.

Em um comunicado atualizado na quinta-feira, a Microsoft confirmou que o IE 5.01 com Service Pack 4, IE6 e sem o Service Pack 1 e o IE8 Beta 2 em todas as versões do sistema operacional Windows são potencialmente vulneráveis.

[Outras leituras: Como remover malware do seu PC com Windows]

Também vulneráveis ​​são os usuários que executam o IE7 no Windo ws XP Service Pack 2 e 3, Windows Server 2003 Service Pack 1 e 2, Windows Vista com e sem Service Pack 1 e Windows Server 2008.

A empresa esclareceu qual é o problema com o navegador após relatórios conflitantes de empresas de segurança de computadores

"A vulnerabilidade existe como uma referência de ponteiro inválida na função de vinculação de dados do Internet Explorer", de acordo com o comunicado. "Quando a vinculação de dados está habilitada (que é o estado padrão), é possível, sob determinadas condições, liberar um objeto sem atualizar o comprimento da matriz, deixando o potencial de acessar o espaço de memória do objeto excluído. Isso pode fazer com que o Internet Explorer saia inesperadamente, em um estado que é explorável. "

A Microsoft disse que só viu ataques limitados mirarem a falha no IE7. No entanto, analistas de segurança disseram que parece estar sendo construído um número cada vez maior de sites que podem explorar a vulnerabilidade.

O problema é particularmente severo, pois em alguns casos os usuários simplesmente precisam visualizar um site para ter um cavalo de Tróia. programa baixado automaticamente para sua máquina. Uma vez em um PC, o hacker pode direcionar o programa para baixar outro software defeituoso e realizar ações como enviar spam e roubar dados.

A Microsoft descreveu o alerta de várias maneiras que as pessoas podem reduzir a chance de serem vítimas, dependendo do que versão do navegador e do sistema operacional que estão usando. No entanto, a solução infalível agora é usar outro navegador até que a Microsoft o corrija.

A Microsoft regularmente emite patches na segunda terça-feira do mês, mas é conhecida por lançar o que é chamado de patch out-of-band se ameaça é considerada grave o suficiente. A Microsoft não diz se vai fazer isso e tende a simplesmente liberar a correção. O próximo dia de correção planejado é 13 de janeiro, o que significa que os atacantes terão pelo menos um mês para infectar tantos computadores quanto possível se a Microsoft planeja Emite um patch para a falha naquele dia.

Informações sobre a vulnerabilidade apareceram pela primeira vez na região da China. Uma empresa de segurança chinesa, chamada knowsec, disse que ouviu rumores de que códigos circulam em mercados criminosos no começo deste ano. Acredita-se que o código de exploração tenha sido vendido em até US $ 15.000. As vulnerabilidades de software são altamente valiosas para os cibercriminosos, já que as falhas podem ser usadas para roubar detalhes de cartão de crédito e outros dados financeiros. anos, a Microsoft divulgou seu recorde de melhorias na segurança de computadores, mas ainda está sobrecarregada com novas descobertas de bugs em softwares mais antigos.