Um especialista em segurança de computador alerta para uma nova vulnerabilidade do navegador Internet Explorer, e alega que a Microsoft não considerou grave. Um atacante pode aproveitar essa falha se conseguir fazer o usuário visitar seu website e se ele apertar o botão “voltar”. Apesar da combinação parecer improvável, não é tão difícil de ser conseguida: a reação natural de muitos usuários ao encontrarem uma página defeituosa é apertarem o botão de voltar. Um webmaster malicioso poderia utilizá-la para instalar no computador do internauta trojans ou vírus.
O alerta foi dado pelo sueco Andreas Sandblad, que enviou hoje à movimentada lista BugTrack detalhes sobre o problema nos comandos de javascript do Internet Explorer, assim como uma exploração prática (exploit) dele. Ele afirma ter avisado a Microsoft em novembro do ano passado e em 25 de março deste ano, mas não recebeu resposta. O exploit publicado por Sandblad executa automaticamente arquivos armazenados no disco rígido do usuário, mas pode ser adaptado para executar programas armazenados em qualquer website. A vulnerabilidade parece afetar apenas o Internet Explorer 6 instalado sobre alguma versão do Windows – não está presente no Internet Explorer para Mac ou no Netscape para Windows.
Até uma atualização crítica ser publicada pela Microsoft, os paliativos são desabilitar javascpits no Internet Explorer ou nunca apertar o botão de voltar – ou utilizar um diferente navegador.
