Uma semana depois de divulgar que uma falha no software MSN Chat expunha o Internet Explorer a ataques, a Microsoft publicou hoje um boletim informando que o seu navegador possui seis novas falhas de segurança. Os furos permitem ataques por e-mail, se o internauta usa os programs Outlook Express, Outlook 98 ou Outlook 2000 e não instalou as atualizações de segurança que consertam o programa. Um patch que resolve o problema foi já liberado.
As falhas no Internet Explorer permitem que o atacante execute um código de sua escolha no computador do usuário, se conseguir atraí-lo para uma página especialmente preparada. Os vírus Nimda e Klez se espalharam com tanta intensidade por aproveitarem de uma vulnerabilidade no Internet Explorer que também se manifesta no Outlook: eles enviam para as vítimas um e-mail em HTML com scripts que é executado automaticamente quando é visualizado ou aberto nos clientes de e-mail da Microsoft.
A Microsoft também anunciou uma “melhoria” que pode significar problemas mesmo para aqueles que já atualizaram seus clientes de e-mail ou usam o Outlook 2002. Esses programas abre todo e-mail em HTML na zona de sites restritos, desabilitando a execução de scripts. A empresa anunciou que o patch conserta as vulnerabilidades e desabilita a exibição de frames em e-mails em HTML, “tornando impossível que um e-mail em HTML abra automaticamente uma nova janela ou execute automaticamente um arquivo”. Ou seja, é teoricamente possível para um atacante construir um e-mail em HTML que vença as proteções do Outlook 2002 e da antiga atualização de segurança para os outros programas.
Para encontrar a atualização, visite o site Windowsupdate ou faça uma procura por “security patch” no Download Center. O boletim pode ser lido no Technet.
