Vulnerabilidade no Internet Explorer

Vulnerabilidade no Internet Explorer
Execução remota de código, inclusive em sistemas Windows atualizados.

14:30:00 GMT-03 (BRT) Registro dos analistas de plantão (Maria Carolina Matera Bozza):

DESCRIÇÃO:

Foi descoberta uma falha no Internet Explorer da Microsoft, capaz de permitir a execução remota de código, inclusive em sistemas Windows devidamente atualizados.
Trata-se de uma falha já conhecida na função Javascript "window()" que, quando utilizada em conjunto com a TAG HTML , permite a execução de código arbitrário no sistema afetado.
Para que a falha possa ser explorada, o usuário deve ser persuadido a clicar em uma url especialmente criada por um atacante. A gravidade da vulnerabilidade deve-se ao fato da inexistência de correções disponíveis até o momento.

VERSÕES AFETADAS:

. Internet Explorer 5.01 Service Pack 4 instalado em Microsoft Windows 2000 Service Pack 4
. Internet Explorer 6 Service Pack 1 instalado em Microsoft Windows 2000 Service Pack 4
. Internet Explorer 6 Service Pack 1 instalado em Microsoft Windows XP Service Pack 1
. Internet Explorer 6 instalado em Microsoft Windows XP Service Pack 2
. Internet Explorer 6 instalado em Microsoft Windows Server 2003
. Internet Explorer 6 instalado em Microsoft Windows Server 2003 Service Pack 1
. Internet Explorer 6 instalado em Microsoft Windows Server 2003 para sistemas baseados em Itanium
. Internet Explorer 6 instalado em Microsoft Windows Server 2003 com Service Pack 1 para sistemas baseados em Itanium
. Internet Explorer 6 instalado em Microsoft Windows Server 2003 x64 Edition
. Internet Explorer 6 instalado em Microsoft Windows XP Professional x64 Edition
. Internet Explorer 5.5 Service Pack 2 instalado em Microsoft Windows Millennium Edition
. Internet Explorer 6 Service Pack 1 instalado em Microsoft Windows 98
. Internet Explorer 6 instalado em Microsoft Windows 98 SE
. Internet Explorer 6 instalado em Microsoft Windows Millennium Edition

SOLUÇÂO:

*Não existem correções disponíveis para este problema até o momento.*

RECOMENDAÇÕES:

Recomendamos que utilize um navegador alternativo, como o OPERA[1] ou o
FIREFOX[2]. Se necessária a utilização do Internet Explorer, restrinja o
acesso somente para páginas confiáveis;

REFERÊNCIAS (em Inglês):

[1] Opera Web Browser

http://www.opera.com

[2] Firefox Web Browser

http://www.getfirefox.com

1. SA15546 – Microsoft Internet Explorer "window()" Arbitrary Code
Execution Vulnerability
~ http://secunia.com/advisories/15546

2. VU#887861 – Microsoft Internet Explorer vulnerable to code execution
via scripting "window()" object
~ http://www.kb.cert.org/vuls/id/887861

Maria Carolina