A mais grave das falhas divulgadas no último boletim de segurança aumenta a gravidade de um ataque através de um cookie que contenha um script malicioso. Um atacante poderia aproveitar a vulnerabilidade se conseguisse fazer sua vítima visitar um website que contenha um cookie especialmente preparado.

Cookies são pequenos arquivos de texto criados pelos sites que o internauta visita e que ficam armazenados localmente, no computador do usuário. Cookies podem conter scripts, mas eles são restringidos pelo nível de segurança do Internet Explorer – cookies gerados por sites na “zona da internet” só podem executar conteúdos autorizados para essa zona. A vulnerabilidade permite que cookies gerados por sites da internet executem scripts com o nível de segurança da rede local, com menos restrições. Esse script seria executado segundo a vontade do webmaster do site, sem autorização do usuário.

A outra vulnerabilidade corrigida no patch permite que um webmaster execute, sem a autorização do usuário, um programa que esteja em seu disco rígido – como a calculadora do Windows ou o Bloco de Notas.

A atualização pode ser baixado no site da Microsoft.

Segundo o dinamarquês Thor Larholm, ainda existem seis vulnerabilidades do Internet Explorer publicadas da internet e que ainda esperam patches da Microsoft. A maioria dessas falhas envolvem cenários de invasão de privacidade, mas uma delas permite que uma atacante faça o download e execute um programa no computador de sua vítima.