Grupo descobriu como burlar mecanismo que desativa controles ActiveX com bugs que não deveriam rodar no sistema operacional Windows.

A Microsoft foi forçada a anunciar correções emergenciais para o sistema operacional Windows na sexta-feira (25/7) porque pesquisadores descobriram como burlar um mecanismo crítico de segurança no navegador Internet Explorer.

O pacote de emergência, que deve ser divulgado nesta terça-feira (28/7), tem como alvo uma falha crítica no Internet Explorer e também corrigirá um bug relacionado ao ambiente de desenvolvimento Visual Studio – este último é classificado como ‘moderado’ pela Microsoft.

Durante a conferência de segurança Black Hat, que ocorre essa semana em Las Vegas, nos Estados Unidos, pesquisadores pretendem mostrar como quebrar o mecanismo de segurança utilizado para desativar os controles ActiveX que têm bug e não podem rodar no Windows.

Mark Dowd, Ryan Smith e David Dewey prometem explicar como burlar a proteção na quarta-feira (29/7). Um vídeo de Smith, já divulgado online, oferece uma prévia sobre a invasão, que permite a instalação de programas não autorizados no PC da vítima.

“A falha é um grande problema, porque você pode executar controles que não deveriam ser executados”, diz o gerente de tecnologia da Shavlik Technologies, Eric Schultze. “Então, se um site malicioso é visitado, o criminoso pode fazer o que quiser, mesmo que eu tenha uma correção”.

Segundo o pesquisador Halvar Flake, o bug também está relacionado a uma falha no ActiveX identificada pela Microsoft no início do mês, corrigida em outro pacote emergencial no dia 14 de julho. Uma vulnerabilidade mais profunda, contudo, não foi solucionada, o que dá espaço a mais ataques.

Uma porta-voz da Microsoft não especificou quantos controles ActiveX estão seguros por meio do mecanismo. A empresa não divulgará mais informações até que a correção seja lançada.

“Se você não aplicar este pacote, é como se tivesse desinstalado 30 correções de antes”, informou Schultze.

fonte: IDGNow