A vulnerabilidade crítica no Internet Explorer, com o identificador CVE-2020-0674, foi publicada pela Microsoft. Ele permite que os invasores executem código remotamente usando a biblioteca JScript.dll. Um patch de segurança está sendo criado no momento ainda.
A segunda terça-feira de cada mês, a Microsoft lança novas atualizações e neste ano de 2020 a Microsoft lançou 49 atualizações; logo depois, relatou uma nova vulnerabilidade de segurança de Dia Zero no Internet Explorer. O código é executado remotamente, os objetos são processados na memória usando a linguagem de script (“mecanismo de script”) e acionados pela biblioteca JScript.dll.
Neste ponto, há um risco de exploração: a vulnerabilidade pode permitir que um invasor danifique a memória. Como resultado, um invasor remoto pode executar código arbitrário no contexto do usuário atual. Dependendo dos direitos administrativos dos usuários com os quais essa pessoa está conectada, no pior dos casos, o invasor pode assumir o controle do sistema em questão. As possíveis consequências incluem a instalação de programas indesejados e a visualização, modificação ou exclusão de dados confidenciais, mas também operacionais, relevantes. Um hacker que explore com êxito essa vulnerabilidade poderá obter direitos extensos de usuário e até criar novas contas.
Versões afetadas
O navegador da web afetado é o Internet Explorer 9, 10 e 11, que roda em todas as versões do Windows 10, 8.1 e no Windows 7. recentemente descontinuado. A declaração oficial da Microsoft ADV200001 inclui uma solução alternativa para proteger os sistemas vulneráveis dos usuários onde eles dependem do Internet Explorer. No entanto, é altamente recomendável que os usuários não usem os navegadores vulneráveis até que essa vulnerabilidade seja corrigida.
Patch e solução alternativa
Embora a Microsoft esteja ciente dos “ataques direcionados limitados”, um patch não será lançado até a terça-feira do próximo mês.
“Nossa política padrão é lançar atualizações de segurança na segunda terça-feira de cada mês. Esse cronograma previsível permite garantia da qualidade do parceiro e planejamento de TI, o que ajuda a manter o ecossistema do Windows como uma escolha confiável e segura para nossos clientes”, afirmou.
Um dos motivos pelos quais o senso de urgência pode ser menor do que seria de esperar em um Dia Zero é o fato de todas as versões suportadas do Internet Explorer em sua configuração padrão usarem Jscrip9.dll como mecanismo de script, o que não é vulnerável a falhas. No entanto, o problema afeta as versões do Internet Explorer usadas no Windows 7, que chegaram ao fim da vida útil na semana passada e, portanto, não são mais suportadas. O Qihoo 360 alertou que essa base de instalação, em particular, está em risco.
Para aqueles que usam jscript.dll, a Microsoft detalhou uma solução alternativa que envolve o uso de comandos administrativos para restringir o acesso à biblioteca de scripts. No entanto, não é o ideal: pode resultar em funcionalidade reduzida para componentes ou recursos que dependem do jscript.dll.
“Por exemplo, dependendo do ambiente, isso pode incluir configurações de clientes que utilizam scripts de configuração automática de proxy (scripts PAC)”, disse a Microsoft. “Esses recursos e outros podem ser afetados.”
Além disso, os usuários precisarão reverter essa solução alternativa para instalar quaisquer patches ou atualizações futuras.
Informações disponíveis no portal da Microsoft .