Plug-in Flash é "arma" para ataque ao IE da Microsoft

30/04/2014

Os laboratórios de pesquisa da FireEye identificaram um ataque (exploit zero-day) direcionado aos usuários do Internet Explorer (IE). A vulnerabilidade tem como alvo as versões IE9 até IE11, mas afeta as versões do IE6 até o IE11. Esta brecha ignora ASLR e DEP. A Microsoft atribuiu o código CVE-2014-1776 para a vulnerabilidade e lançou um aviso de segurança para acompanhar a questão.

Inicialmente, os ataques foram direcionados aos setores financeiros e de defesa, para coleta de informações. Mas qualquer usuário de versões IE9 e superiores - 25% do mercado mundial de navegadores – pode ser afetado.  O ataque é enviado através de um plug-in Flash, comum na maioria dos sites.

Agentes mal intencionados estão usando esta brecha para uma campanha contínua a qual a FireEye tem chamado de “Operation Clandestine Fox” (em português “Operação Raposa Clandestina”). No entanto, por muitas razões de segurança, os detalhes desta campanha não estão sendo divulgados.

A Microsoft confirmou a vulnerabilidade e está trabalhando em um patch para corrigi-la. A empresa também confirmou que não está planejando soltar um patch para usuários do Windows XP.  Este é o terceiro “zero-day” descoberto pela FireEye em 2014.

Site: Convergência Digital
Data: 29/04/2014
Hora: 10h22
Seção: Segurança
Autor: ------
Link: http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid=36607&sid=18#.U2AE7VWrrkU