Quando a Microsoft diz que uma falha que afeta o Windows é “crítica”, a ponto de divulgar uma correção emergencial, é melhor prestar atenção.
Uma vulnerabilidade zero-day no Internet Explorer permite a um invasor sequestrar o controle do seu computador. Basta visitar uma página com código malicioso, sem nenhuma interação adicional por parte do usuário.
O IE é o segundo navegador mais usado do mundo, com 17,6% dos acessos segundo o StatCounter. A falha foi descoberta por Clément Lecigne, pesquisador do Google.
O especialista em segurança Graham Cluley explica que o invasor tem os mesmos direitos que o usuário atual. Ou seja, se você tiver direitos de administrador, o hacker pode assumir controle total do seu PC. A partir daí, ele poderia roubar informações, instalar mais malware, entre outros.
Como explica a Microsoft, há diversas formas de levar você a um site malicioso: “o invasor pode tirar proveito de sites invadidos, ou de sites que aceitem ou hospedem anúncios ou conteúdo fornecido por usuários, ao adicionar conteúdo especialmente desenvolvido que possa explorar esta vulnerabilidade”.
A correção KB3087985 já está disponível através do Windows Update, e exige que o computador seja reiniciado.
A falha afeta todas as versões do Windows, e é considerada crítica no Vista/7/8/RT/RT 8.1/10. (O Windows XP não é mencionado porque não recebe mais atualizações de segurança, e pode estar vulnerável.)
A vulnerabilidade é classificada como moderada no Windows Server 2008/2008 R2/2012/2012 R2, pois esses sistemas têm uma ferramenta que “protege contra ameaças novas e desconhecidas”.
O Microsoft Edge, presente apenas no Windows 10, não é afetado pela falha. No entanto, todas as versões do IE estão vulneráveis – incluindo a que acompanha o Windows 10.
No mês passado, a Microsoft também teve que lançar um patch emergencial de segurança: devido a um bug na maneira como o Windows lida com fontes personalizadas, um hacker poderia usar uma fonte personalizada em uma página da web ou documento e executar código remotamente no PC.
[Microsoft via Graham Cluley]
Foto por evilnickname/Flickr