CISO Advisor: 238.450 page views/mês - 90.230 usuários/mês - 5.312 assinantes

Brecha crítica de RCE no Internet Explorer abre portas a invasores

Da Redação
22/01/2020

Vulnerabilidade na execução remota de código (RCE) no navegador da Microsoft permite que invasores enviem e-mails de phishing para explorar a falha

Internet-Explorer.jpg

A Microsoft e o governo dos EUA alertam os usuários de computador sobre uma vulnerabilidade crítica de execução remota de código (RCE) no navegador Internet Explorer (IE), e que está sendo explorada atualmente. O bug de zero day (CVE-2020-0674) existe na maneira como o mecanismo de script manipula objetos de memória no IE, de acordo com um comunicado da Microsoft atualizado no fim de semana passado.

Os invasores podem enviar e-mails de phishing para as vítimas, induzindo-as a visitar um site especialmente criado para explorar a falha no IE, afirmou a fabricante de software. “A vulnerabilidade pode corromper a memória, de forma que o invasor possa executar código arbitrário. O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos do usuário legal”, prossegue a empresa.

O alerta diz ainda que se o usuário estiver conectado com direitos administrativos, o invasor que explorar com êxito a vulnerabilidade poderá assumir o controle de um sistema afetado. Ele pode instalar programas, visualizar, alterar ou excluir dados, ou criar contas com todos os direitos de usuário.

A vulnerabilidade afeta as versões 9, 10 e 11 do Internet Explorer em execução em todas as versões de desktop e servidor do Windows, incluindo o Windows 7 e o Server 2008, que não são mais suportados. Apesar de admitir que a falha está sendo explorada em “ataques direcionados limitados”, a Microsoft ainda não lançou um patch de emergência. Em vez disso, detalhou um conjunto de medidas temporárias que giram em torno da restrição de acesso ao componente JavaScript JScript.dll. Com agências de notícias internacionais.

Compartilhar: