Esta é uma versão arquivada/estática do antigo Blog do André. Isso significa que todo o conteúdo aqui presente não irá ser atualizado, e pode conter erros. Algumas funcionalidades poderão não estar disponíveis nesta versão arquivada.
19
Dez 2008

Falha de segurança no IE

Hoje vi na capa do jornal Metro uma notícia que se referia a uma falha de segurança do IE. Não consegui ler o artigo, mas fiquei intrigado com o facto de uma coisa tão “banal” ser assunto de notícia…

As opiniões dividem-se um pouco: no Destak, dizem que a falha não afectou Portugal, sem mais explicações… Não afectou Portugal, porque por sorte (ou simplesmente não calhar), ninguém em Portugal visitou um website que explorasse essa vulnerabilidade! Já na RTP, aparece uma notícia a informar que foi lançada uma actualização que resolve a vulnerabilidade, na passada 3ª feira; que na realidade me lembro de ter descarregado isso das actualizações automáticas, na passada 3ª/4ª feira.

Como isto obviamente é paleio para ser acessível a qualquer pessoa, sem entrar em grandes detalhes, fui em busca da vulnerabilidade; é possível encontrar efectivamente algumas informações extra no boletim de segurança MS08-078, no website da Microsoft Technet, mas nada de muito concreto. Clicando aqui e ali, lá consegui encontrar algumas referências:

Existe uma vulnerabilidade de execução remota de código, sob a forma de referência de apontador inválida, na função de enlace de dados do Internet Explorer. Quando o enlace de dados está activado (configurado por pré-definição), é possível que, em determinadas situações, um objecto seja libertado sem que ocorra a actualização do comprimento da matriz, deixando em aberto a possibilidade de aceder ao espaço de memória do objecto. (…)

Um intruso poderia explorar a vulnerabilidade criando uma página web especialmente concebida para o efeito. Quando um utilizador visualizasse a página Web, a vulnerabilidade poderia permitir a execução remota de código. (…)

Depois, são dadas algumas indicações de como resolver a falha manualmente, algo a ver com activex (para variar), XML e objectos embebidos (OLE). Não me alongo muito mais, porque já é algo que sai fora do âmbito do meu conhecimento, mas fica aqui a nota para quem tenha curiosidade em ver.

NOTA: quando li na capa a notícia do jornal Metro referente ao IE, não pude deixar de reparar que por cima do título da notícia estava uma imagem, não do Internet Explorer, mas sim do Firefox… E adivinhem qual o título da notícia? Indo à minha memória, era algo como: “Falha de segurança para o Internet Explorer já tem solução”. Associem o titulo à imagem e cheguem às vossas conclusões :D

Até mais!

Gostou deste artigo?

Facebook Twitter Google Plus Delicious

  • O artigo foi escrito a 19/12/2008 às 00:39.

Comentários

Não existem comentários