Quase quatro anos depois de ter sido substituído pelo Edge como o navegador Windows preferido da Microsoft, os pesquisadores continuam encontrando falhas de segurança desagradáveis ​​no Internet Explorer (IE).

A mais recente é uma prova de conceito (POC) publicada pelo pesquisador John Page (conhecido como hyp3rlinx), que explora uma fraqueza na maneira como o navegador lida com arquivos MHTML (MHT), o formato de arquivamento de página da web padrão do IE.

Se o Windows 7, o Windows 10 ou o Windows Server 2012 R2 encontrar um desses, ele tentará abri-los usando o IE, o que significa que o invasor precisa convencer o usuário a fazer isso. Se bem sucedido, iria permitir…

Permitir que invasores remotos possam potencialmente infiltrar arquivos locais e realizar reconhecimento remoto em informações de versão do Programa instaladas localmente.

IE deve lançar um aviso de segurança, mas isso poderia ser ignorado. Page disse:

Abrindo um arquivo .MHT especialmente criado usando tags de marcação <xml> maliciosas, o usuário não receberá nenhum aviso de conteúdo ativo ou barra de segurança.

Nenhuma escapatória

Isso é importante para os usuários que migraram para o Windows 10 ou pararam de usar o IE anos atrás?

Infelizmente, é sim. Isso porque o IE 11 vem com todos os PCs com Windows – incluindo o Windows 10 – para fins de compatibilidade (somente os licenciados em Enterprise e Education podem, opcionalmente, excluí-lo).

No entanto, no Windows 10, o IE ainda precisa passar por um pequeno processo de instalação quando é executado pela primeira vez, algo que pode chamar a atenção para ataques direcionados à falha descoberta por Page.

Nosso primeiro conselho, então, é que, se você não tem intenção de usar o IE no Windows 10, não o habilite. Melhor ainda, se tiver certeza de que não precisa, desinstale-o completamente por meio do Painel de controle depois de desativá-lo manualmente e reiniciar.

Quando Page reportou o problema à Microsoft em 27 de março, a Microsoft respondeu com essa resposta:

Determinamos que uma correção para esse problema será considerada em uma versão futura deste produto ou serviço. No momento, não forneceremos atualizações contínuas do status da correção para esse problema, e encerramos este caso.

Interpretando isso como desdenhoso, em 10 de abril, Page lançou sua prova de conceito (POC) e vídeo demonstrando que sua façanha funciona como alegado.

Isso levou alguns a chamá-la de “vulnerabilidade de dia zero” porque é uma fraqueza conhecida pela qual não há patch (em oposição a um ataque de dia zero – um ataque conhecido visando uma vulnerabilidade desconhecida para a qual não há patch ).

Sem dúvida, a Microsoft corrigirá a falha em uma atualização futura, esperançosamente no Patch Tuesday de 14 de maio.

Até que isso aconteça, nosso segundo conselho para quem ainda usa um computador com o IE é ser extremamente cético sobre os anexos MHT.

Com informações do blog Naked Security, da Sophos – uma parceira SdRedes.