Ir direto para o menu
Ir direto para o conteúdo
Falha no Microsoft XML Core Services 4.0 pode ser explorada via web.
Redação Linha Defensiva | 06/11/2006 - 17h03
A Microsoft publicou um informativo detalhando uma nova falha de segurança no Microsoft XML Core Services 4.0. A vulnerabilidade pode ser usada por um website malicioso para comprometer o sistema caso o usuário o visite utilizando o Internet Explorer. Como a falha está em um componente externo, tanto o IE6 como o IE7 devem ser afetados igualmente.
De acordo com o site SANS Internet Storm Center, já existe um código malicioso que explora a falha circulando na web que está sendo usado por hackers para instalar vírus e spyware em usuários de IE. A empresa de segurança Sunbelt-Software afirma que o código que explora a falha é limitado e pode não funcionar em alguns casos. A Sunbelt encontrou apenas um site obscuro utilizando a nova vulnerabilidade.
O componente afetado já teve um patch no mês passado, o MS06-061, mas instalar este patch não deve corrigir a nova falha. A falha presente no daxctle.ocx, encontrada em setembro, também ainda não foi corrigida. Correções para as duas falhas são esperadas dia 14 deste mês, quando a Microsoft deve liberar as demais correções para seus softwares.
Até lá, usuários podem se proteger desativando controles ActiveX. Isso pode ser feito da seguinte forma:
Note que essa configuração pode fazer com que alguns sites não funcionem corretamente. Você pode adicionar sites que você visita com freqüência na lista de “Sites confiáveis”.
Navegadores alternativos, como o Firefox e o Opera, não suportam controles ActiveX e não são afetados pela falha. Navegadores baseados no IE, como Avant e NetCaptor, suportam ActiveX e ainda são vulneráveis.
Nota: O Microsoft XML Core Services não está instalado por padrão no Windows XP, porém outros serviços podem instalá-lo. Verifique no Adicionar/Remover Programas se o Core Services está instalado. Se não estiver, você não é afetado pela falha.
