Quem usa o programa de mensagens instantânea MSN Messenger ou o navegador Internet Explorer deve atualizar seus softwares, ou corre o risco de ter seu computador atacado por vírus ou invasores. Uma vulnerabilidade em um componente do MSN Messenger descoberta pela empresa eEye foi tornada pública ontem pela Microsoft, que liberou versões corrigidas do programa.
O bug está presente no MSN Chat, um componente do MSN Messenger e do Instant Messenger que também pode ser baixado separadamente no site chat.msn.com. Um atacante pode aproveitar a vulnerabilidade incitando o usuário a visitar um website que tenha um controle Active X especialmente preparado, mesmo que o MSN Messenger não esteja funcionando.
Outra possibilidade de ataque é o envio de uma mensagem de e-mail em HTML que inclua o comando Active X. Se a mensagem for visualizada em uma versão do Outlook que não tenha recebido a correção para o bug “Iframe” (apenas o Outlook 2002 e o Outlook Express 6 não precisam da correção), o comando é executado automaticamente.
A eEye afirma não conhecer nenhum exploit que aproveite a falha, mas como a falha se tornou pública não deverá demorar até que algum atacante desenvolva um vírus ou ferramenta de invasão.
Para verificar se o seu computador é vulnerável, siga esses passos:
1. No Internet Explorer, escolha o menu Ferramentas e o comando Opções da Internet.
2. Na aba “Geral”, clique sobre o botão Configurações.
3. Clique sobre o botão Exibir objetos.
4. Procure o objeto MSN Chat Control. Role a tela para a direita até encontrar informações sobre a versão. Se a versão não for a de número 2.3.204.3001, o computador está vulnerável.
O patch que resolve o problema está disponível no site da Microsoft e deve ser baixado por todos que usam o navegador Internet Explorer. Quem usa o MSN Messenger ou o Exchange Instant Messenger deve baixar uma versão atualizada dos programas. Segundo a Microsoft, o MSN Messenger incluído no Windows XP não é vulnerável – quem usa esse sistema operacional deve instalar a correção apenas se fez o download individual do MSN Chat.
Bruno Lopes
