18.12.01




Falha gravíssima no Internet Explorer

Esta nota escrita pelo Cat (Carlos Alberto Teixeira) foi despudoradamente cut&pastada lá da GloboNews.com:

No dia 13 de dezembro a Microsoft lançou um remendo (patch) de segurança para sanar problemas do Internet Explorer versões 5.5 e 6. Não fez muito barulho sobre a falha que estava sendo corrigida, mas foi só para não dar na vista, pois provavelmente foi o defeito mais grave já encontrado em todas as versões deste consagrado browser.

A partir do texto explicativo do patch no site da Microsoft, o especialista Guilherme Rudnitzki, da empresa Rumo Informática, elaborou um script ASP que demonstra a terrível falha no IE 5.5 SP2, que nem é a versão mais recente do Explorer, mas ainda é a mais utilizada.

Clicando no link mais abaixo, surgirá uma página com um outro link que aparentemente apontará para um arquivo texto comum, de nome LEIAME.TXT. Clicando neste outro, abrir-se-á uma janela perguntando se deve abrir-se ou salvar-se o documento. Como supostamente se trata de um arquivo do tipo texto, a atitude normal do IE seria abrir o dito cujo numa boa, sem desconfiar de nada. Porém, o LEIAME.TXT é na verdade o script ASP escrito pelo Guilherme. Se você selecionar "abrir", o script enviará ao software um executável que será ativado sem pedir nova confirmação. No caso deste exemplo ilustrativo, pode mandar abrir à vontade, pois o executável escondido é simplesmente o CALC.EXE, a inofensiva calculadora padrão que vem junto com o Windows.

No entanto, um hacker mal intencionado poderia acionar qualquer executável escrito por ele em sua máquina, causando os mais variados estragos possíveis ou mesmo afanando informações preciosas de seu sistema. Bem, chega de papo e clique aqui para ver a vulnerabilidade em pleno funcionamento.

- c.a.t.


Nenhum comentário: