Microsoft alerta sobre falha crítica do Internet Explorer sendo usada por hackers
Bug do Internet Explorer é explorado para "ataques direcionados limitados", diz Microsoft; navegador é usado em 7% dos PCs
O Internet Explorer ainda é utilizado em 7% dos PCs, e uma falha crítica do navegador no Windows 7, 8.1, 10 e Server está sendo explorada em “ataques direcionados limitados”, segundo a própria Microsoft. A empresa promete uma correção, mas só em fevereiro; até lá, ela sugere adotar algumas medidas para mitigar riscos.
- Por que nem a Microsoft quer que você use o Internet Explorer
- Como desinstalar o Internet Explorer do Windows
A Microsoft afirma ao TechCrunch que está “ciente de ataques direcionados limitados” no Internet Explorer e que trabalha em uma correção, a ser lançada somente em 11 de fevereiro. Trata-se da Patch Tuesday, que reúne atualizações de segurança e de estabilidade, geralmente liberada na segunda terça-feira de cada mês.
A vulnerabilidade está na forma como um mecanismo de scripts manipula objetos na memória no Internet Explorer 9, 10 e 11. A falha permite corromper a memória do navegador, e assim um invasor poderia executar código remotamente no PC da vítima, explica a Microsoft.
Se o usuário afetado tiver direitos de administrador, o invasor terá a liberdade de visualizar, alterar ou excluir dados, além de instalar programas no computador. Para isso, o hacker teria que hospedar um site especialmente criado para explorar essa vulnerabilidade e convencer um usuário a abri-lo, por exemplo, enviando um e-mail.
Agência dos EUA sugere usar Edge ou outro navegador
A Microsoft classifica o problema do Internet Explorer como “crítica” no Windows 10, Windows 7, Windows 8.1 e Windows RT; e como “moderada” no Windows Server 2008, Server 2012, Server 2016 e Server 2019.
A CISA (Agência de Segurança Cibernética e Infraestrutura), uma divisão do Departamento de Segurança Interna dos EUA, emitiu um alerta sobre a falha no IE. Ela sugere “usar o Microsoft Edge ou um navegador alternativo até que os patches sejam disponibilizados”.
Enquanto o IE não é atualizado, a Microsoft sugere desativar o acesso ao arquivo jscript.dll, onde está a vulnerabilidade — é necessário seguir os passos deste link. Ela lembra que o IE11, IE10 e IE9 usam outro arquivo por padrão (jscript9.dll).
Acredita-se que esse bug seja semelhante ao divulgado pela Mozilla na semana passada: o Firefox 72 permitia que código mal-intencionado em JavaScript rodasse fora do navegador. Isso foi corrigido na versão 72.0.1. Tanto a Microsoft quanto a Mozilla disseram que a vulnerabilidade foi descoberta pela empresa chinesa de segurança Qihoo 360.
Segundo o NetMarketShare, o Internet Explorer era utilizado em 7,44% dos PCs conectados à internet no final de 2019, contra 66,64% do Google Chrome e 8,36% do Firefox.
Com informações: TechCrunch, Bleeping Computer.
