Mais uma fresquinha do tio Bill....rs
"Internet Explorer 7 tem terceira vulnerabilidade em duas semanas
Por Jeremy Kirk, para o IDG Now!*
Publicada em 30 de outubro de 2006 às 11h08
Atualizada em 30 de outubro de 2006 às 19h47
Londres - Secunia alerta para brecha da versão anterior que se manteve ativa e permite ataques que roubam dados financeiros dos usuários.
Um problema de segurança encontrado originalmente no navegador Internet Explorer 6, da Microsoft, voltou para assombrar o IE7, a nova versão do aplicativo lançado há duas semanas, disse uma consultoria de segurança nesta segunda-feira (30/10).
A consultoria de segurança Secunia publicou um alerta de segurança sobre uma questão em que um crackers poderia possivelmente roubar dados de autenticação de usuários do IE7. Pelos últimos dois anos, pesquisadores de segurança alertaram sobre a mesma brecha no IE6.
Caso um usuário visite o site especialmente forjado pelo cracker e então abra um site confiável, como de um banco ou loja online, que tem uma janela pop-up, o cracker pode injetar códigos maliciosos no pop-up, disse Thomas Kristensen, chief security officer da Secunia.
O ataque pode ser usado para roubar dados financeiros do usuário, disse ele.
Quando o problema foi revelado em junho de 2004, a Microsoft deu instruções para evitar a brecha no IE6: desabilitar a função "Navigate sub-frames across different domains". A função está desabilitada como padrão no IE7, mas parece não prevenir o ataque, disse Kristensen.
A Microsoft foi notificada da brecha, disse o executivo, mas engenheiros da empresa não estavam disponíveis para comentar a questão na manhã desta segunda-feira.
Usuários mais atentos podem perceber que estão sob ataques, já que, caso a URL do site seja visível, possa ser possível identificar um pedido fraudulento de senhas, por exemplo. Isto, no entanto,"pediria atenção redobrada à barra de endereços", disse Kristensen.
No entanto, um cracker mais astuto poderia usar este problema em conjunto a uma brecha em pop-ups identificada na última semana no Internet Explorer 7.
Logo após a divulgação do IE7, a Secunia divulgou a descoberta da sua primeira falha, que permitiria que um cracker pudesse ler informações sigilosas de um site seguro caso o usuário abra uma página maliciosa.
A Microsoft alegou que o problema, ainda não corrigido, não pertence ao browser, mas à sua parte do código que abre a suíte de e-mails Outlook.
*Jeremy Kirk é editor do IDG News Service, em Londres."
Agora eu pergunto.... Não era tudo novo no IE7?... como eles conseguem colocar o mesmo defeito num programa que diz ser completamente novo?...rs