Heero Yuy
20/09/2006, 15:20:55
Especialistas da Sunbelt Software encontraram um website capaz de instalar spywares em um computador Windows atualizado por meio de uma nova falha do Internet Explorer. A falha está presente no processamento de VML (http://www.w3.org/TR/NOTE-VML.html), um recurso pouco utilizado atualmente que possibilita a criação de gráficos/formas vetoriais. Ainda não se sabe muito sobre a vulnerabilidade e não há correção disponível, o que significa que a falha pode ser classificada como “Dia Zero”. De acordo com o blog da Sunbelt (http://sunbeltblog.blogspot.com/2006/09/seen-in-wild-zero-day-exploit-being.html), o primeiro sintoma aparente da infecção pelo exploit é o aparecimento de uma janela de prompt de comando contendo símbolos estranhos. Veja foto » (http://www.sunbelt-software.com/ihs/alex/screen00000000002.PNG)
A Microsoft publicou um informativo (http://www.microsoft.com/technet/security/advisory/925568.mspx) sobre a falha, explicando que ela pode ser evitada desativando-se a DLL Vgx.dll, responsável pelo processamento de VML, com o seguinte comando no Iniciar -> Executar:
regsvr32 -u "%ProgramFiles%\Arquivos comuns\Microsoft Shared\VGX\vgx.dll"
O código malicioso foi encontrado apenas em sites pornográficos até o momento, então você sabe o que evitar. Se preferir, procure utilizar um navegador alternativo como o Opera (http://www.opera.com/) ou Mozilla Firefox, pelo menos até a Microsoft corrigir a falha.
Note que esta vulnerabilidade é diferente daquela encontrada na semana passada (http://idgnow.uol.com.br/seguranca/2006/09/15/idgnoticia.2006-09-15.6414237521/IDGNoticia_view), que está em um ActiveX e não no VML. Essa falha mais antiga, que ainda não está sendo explorada ativamente, pode ser evitada aplicando-se uma correção não-oficial disponibilizada por Tom Liston no Internet Storm Center (http://isc.sans.org/). Faça o download da correção » (http://handlers.sans.org/tliston/DAXCTLE.OCX_KillBit.exe)
A correção oficial da Microsoft para essas duas falhas deve sair apenas no dia 10 de outubro. Você estará em risco até lá caso não redobre o cuidado ao navegar na web, aplique as correções temporárias ou adote um navegador alternativo como medida de segurança, mesmo que temporariamente.
Fonte: http://linhadefensiva.uol.com.br/blog/2006/09/iexplore-vml/
A Microsoft publicou um informativo (http://www.microsoft.com/technet/security/advisory/925568.mspx) sobre a falha, explicando que ela pode ser evitada desativando-se a DLL Vgx.dll, responsável pelo processamento de VML, com o seguinte comando no Iniciar -> Executar:
regsvr32 -u "%ProgramFiles%\Arquivos comuns\Microsoft Shared\VGX\vgx.dll"
O código malicioso foi encontrado apenas em sites pornográficos até o momento, então você sabe o que evitar. Se preferir, procure utilizar um navegador alternativo como o Opera (http://www.opera.com/) ou Mozilla Firefox, pelo menos até a Microsoft corrigir a falha.
Note que esta vulnerabilidade é diferente daquela encontrada na semana passada (http://idgnow.uol.com.br/seguranca/2006/09/15/idgnoticia.2006-09-15.6414237521/IDGNoticia_view), que está em um ActiveX e não no VML. Essa falha mais antiga, que ainda não está sendo explorada ativamente, pode ser evitada aplicando-se uma correção não-oficial disponibilizada por Tom Liston no Internet Storm Center (http://isc.sans.org/). Faça o download da correção » (http://handlers.sans.org/tliston/DAXCTLE.OCX_KillBit.exe)
A correção oficial da Microsoft para essas duas falhas deve sair apenas no dia 10 de outubro. Você estará em risco até lá caso não redobre o cuidado ao navegar na web, aplique as correções temporárias ou adote um navegador alternativo como medida de segurança, mesmo que temporariamente.
Fonte: http://linhadefensiva.uol.com.br/blog/2006/09/iexplore-vml/