Microsoft alerta sobre falha crítica do Internet Explorer sendo usada por hackers

Bug do Internet Explorer é explorado para "ataques direcionados limitados", diz Microsoft; navegador é usado em 7% dos PCs

Felipe Ventura
• Atualizado há 3 anos
Internet Explorer (Imagem: Josh Holmes/Flickr)

O Internet Explorer ainda é utilizado em 7% dos PCs, e uma falha crítica do navegador no Windows 7, 8.1, 10 e Server está sendo explorada em “ataques direcionados limitados”, segundo a própria Microsoft. A empresa promete uma correção, mas só em fevereiro; até lá, ela sugere adotar algumas medidas para mitigar riscos.

A Microsoft afirma ao TechCrunch que está “ciente de ataques direcionados limitados” no Internet Explorer e que trabalha em uma correção, a ser lançada somente em 11 de fevereiro. Trata-se da Patch Tuesday, que reúne atualizações de segurança e de estabilidade, geralmente liberada na segunda terça-feira de cada mês.

A vulnerabilidade está na forma como um mecanismo de scripts manipula objetos na memória no Internet Explorer 9, 10 e 11. A falha permite corromper a memória do navegador, e assim um invasor poderia executar código remotamente no PC da vítima, explica a Microsoft.

Se o usuário afetado tiver direitos de administrador, o invasor terá a liberdade de visualizar, alterar ou excluir dados, além de instalar programas no computador. Para isso, o hacker teria que hospedar um site especialmente criado para explorar essa vulnerabilidade e convencer um usuário a abri-lo, por exemplo, enviando um e-mail.

Agência dos EUA sugere usar Edge ou outro navegador

A Microsoft classifica o problema do Internet Explorer como “crítica” no Windows 10, Windows 7, Windows 8.1 e Windows RT; e como “moderada” no Windows Server 2008, Server 2012, Server 2016 e Server 2019.

A CISA (Agência de Segurança Cibernética e Infraestrutura), uma divisão do Departamento de Segurança Interna dos EUA, emitiu um alerta sobre a falha no IE. Ela sugere “usar o Microsoft Edge ou um navegador alternativo até que os patches sejam disponibilizados”.

Enquanto o IE não é atualizado, a Microsoft sugere desativar o acesso ao arquivo jscript.dll, onde está a vulnerabilidade — é necessário seguir os passos deste link. Ela lembra que o IE11, IE10 e IE9 usam outro arquivo por padrão (jscript9.dll).

Acredita-se que esse bug seja semelhante ao divulgado pela Mozilla na semana passada: o Firefox 72 permitia que código mal-intencionado em JavaScript rodasse fora do navegador. Isso foi corrigido na versão 72.0.1. Tanto a Microsoft quanto a Mozilla disseram que a vulnerabilidade foi descoberta pela empresa chinesa de segurança Qihoo 360.

Segundo o NetMarketShare, o Internet Explorer era utilizado em 7,44% dos PCs conectados à internet no final de 2019, contra 66,64% do Google Chrome e 8,36% do Firefox.

Com informações: TechCrunch, Bleeping Computer.

Leia | Como usar e resolver problemas do modo de compatibilidade do IE 11

Relacionados

Escrito por

Felipe Ventura

Felipe Ventura

Ex-editor

Felipe Ventura fez graduação em Economia pela FEA-USP, e trabalha com jornalismo desde 2009. No Tecnoblog, atuou entre 2017 e 2023 como editor de notícias, ajudando a cobrir os principais fatos de tecnologia. Sua paixão pela comunicação começou em um estágio na editora Axel Springer na Alemanha. Foi repórter e editor-assistente no Gizmodo Brasil.