Por IDG Now!

Pela segunda semana seguida, pesquisadores independentes de segurança corrigiram uma falha de segurança em softwares da Microsoft.

Na sexta-feira (29/09), a Determina publicou em seu site um pacote de atualização gratuito para uma falha crítica no controle ActiveX que é usado pela interface gráfica do Windows. O patch funciona nas versões 200, XP e 2003 do sistema operacional Windows.

Experts de segurança consideraram a falha crítica já que ela pode ser explorada para que crackers rodem códigos não autorizados em micros. Para que isto ocorra, a vítima precisa apenas visitar um site na internet com o Internet Explorer (IE) com a execução do protocolo ActiveX permitida.

O pesquisador de segurança HD Morre publicou detalhes sobre a falha no dia 18 de julho, mas recentemente divulgou código que explora a falha para seu amplo uso no conjunto de ferramentas para hacking Metasploit. Segundo a Determina, a presença do código no Metasploit aumentou os riscos de ataques.

Até agora, no entanto, a empresa confirma que ainda não registrou ataques deste tipo contra o Windows.

Na última terça-feira, a Microsoft divulgou um raro pacote de segurança para um problema na linguagem Vector Markup Language que atingia o Outlook e o IE, após a brecha ser atacada por crackers, que também vêm se concentrando em uma vulnerabilidade não corrigida no PowerPoint.

A brecha no VML foi corrigida quatro dias antes dos pesquisadores de segurança da Microsoft pelo grupos independente Zeroday Emergency Response Team.

O bug mais recente não deverá ser amplamente explorado como a vulnerabilidade no VML, disse Moore. "A falha não é tão severa como a anterior, já que depende do ActiveX e não poderia ser explorada em tarefas corriqueiras pelo Outlook", disse em e-mail.

Não apenas, a Microsoft achou que a questão era séria o suficiente para divulgar um alerta de segurança, publicado na última quinta-feira.

A Microsoft planeja corrigir a falha no próximo ciclo de atualizações de segurança, programado para o dia 10 de outubro.

Convencionalmente, a companhia não recomenda que usuários instalem patchs de terceiros, já que o software não passou pelos "rigorosos testes de qualidade que a Microsoft aplicada em suas atualização de segurança".