Atualização - A correção desta vulnerabilidade já está disponível para download.

A Microsoft divulgou em 14 de Janeiro o Security Advisory 979352, relativo a uma vulnerabilidade no Internet Explorer 6.0 Service Pack 1, Internet Explorer 7 e Internet Explorer 8. Esta vulnerabilidade pode ser explorada por uma página Web maliciosa e permite que seja executado código com os mesmos privilégios do usuário.

Esta vulnerabilidade foi utilizada em ataques específicos contra a Google Inc. e outras empresas na República Popular da China. A Microsoft não tem conhecimento até o momento de uso mais amplo desta vulnerabilidade na Internet.

A Microsoft está trabalhando no desenvolvimento de uma correção  para o problema que deve estar disponível assim que possível, incluindo possivelmente divulgá-la fora do data normal (segunda terça-feira de cada mês). Por enquanto as seguintes ações de proteção podem ser tomadas:

Modo Protegido - No Windows Vista e Windows 7 o Internet Explorer por default trabalha em Modo Protegido (Protected Mode) para sites da Internet, o que mitiga o risco de exploração desta vulnerabilidade.  A Microsoft recomenda que você sempre que possível use o Modo Protegido para navegar na Internet.

IE PM

Caso o Modo Protegido não esteja ativado para sites da Internet, você pode ativá-lo abrindo o menu Ferramentas e em seguida selecionando o menu Opções da Internet. O Modo Protegido pode ser ativado na guia Segurança, conforme a imagem abaixo:

IE PM2

Data Execution Prevention - Além de sempre utilizar o Modo Protegido para navegar na Internet, usuários do Internet Explorer 7 são encorajados a habilitar o recurso de Data Execution Prevention (DEP), que torna mais difícil a execução de um ataque contra esta vulnerabilidade. O DEP já é habilitado por default no Internet Explorer 8.

Para habilitar o DEP no Internet Explorer 7, clique no botão Fix It abaixo. Para o Fix It funcionar você deve estar executar o Internet Explorer como administrador (no Vista, clique com botão direito e selecione Executar como Administrador), e depois reiniciar o Internet Explorer para que o DEP seja efetivamente ativado.

 

Usuário Não-Administrador - Para limitar o impacto da vulnerabilidade, navegue na Internet com uma conta de usuário que não seja administradora do sistema.

Este post do blog será atualizado assim que novas informações estiverem disponíveis.

Atualização (15/1/2009) - O SANS reporta que o código-fonte de um exploit para a vulnerabilidade foi divulgado na Internet. Este exploit somente afeta o Internet Explorer 6. As versões mais novas do Internet Explorer possuem mecanismos de proteção como o Modo Protegido e o DEP que tornam a exploração da vulnerabilidade muito mais difícil.

Atualização (20/1/2009) - A Microsoft confirmou que uma correção será divulgada assim que estiver testada e pronta, fora da data normal de divulgação de atualizações de segurança.