Novo ataque zero-day contra o Internet Explorer

A Microsoft lançou no último sábado um boletim de segurança alertando para um ataque explorando uma vulnerabilidade presente em todas as edições do Internet Explorer, da 6 até a 11.

[Editado em 01/05/14 – A Microsoft anunciou hoje que irá lançar um patch out-of-band (fora do ciclo normal da primeira terças-feiras de cada mês) para corrigir o problema, e que dada a proximidade do fim do suporte ao Windows XP, resolveram excepcionalmente incluir este sistema operacional no patch]

Nova vulnerabilidade do Internet Explorer expõe usuários do Windows

Isto é especialmente problemático para organizações que utilizam o Windows XP, já que este produto não tem mais suporte e não deve receber a correção. Neste artigo sobre o fim do suporte ao Windows XP já orientamos que usuários deste S.O. deveriam instalar um outro navegador e defini-lo como padrão, justamente como prevenção a futuras vulnerabilidades. Em pouco mais de um mês, esta dica já se mostrou válida.

A FireEye, empresa que identificou a vulnerabilidade, publicou um post com detalhes técnicos de como o ataque funciona. Nas entrelinhas, percebe-se que ele provavelmente foi desenvolvido por agentes de governos estrangeiros como parte de campanhas continuadas de roubo de Propriedade Intelectual de organizações públicas e privadas.