Um brecha ainda não corrigida no navegador Internet Explorer da Microsoft foi integrada a um “kit hacker para dummies” e deverá pressionar a MS para desenvolver um patch urgente para o browser.

Por enquanto, um especialista em segurança tomou as dores da Microsoft e afirma que será difícil explorar essa falha no IE8 (a mais popular distribuição do momento).

Na semana passada, a MS advertiu usuários das versões 6, 7 e 8 do seu navegador, que estavam ocorrendo violações dos softwares assim que estes se conectam a sites comprometidos por malwares. Como, para ser infectado, o usuário não precisa fazer nada além de acessar a página comprometida, o ataque é de nível alto.

A primeira empresa a denunciar o bug no navegador da Microsoft foi a Symantec, após capturar uma mensagem spam fazendo se passar por confirmação de reserva de hotel enviada a pessoas selecionadas de uma determinada empresa.

O chefe do departamento de pesquisas da AVG Roger Thompson, declarou, no domingo (7/11), que um novo programa para atacar os browsers da Microsoft fora integrado a um popular kit para hackers iniciantes, disponível para download na web.

“Esse tipo de disseminação piora muito a situação. Ao custo de alguns dólares, qualquer um pode comprar o kit e causar sérios danos às organizações”, afirma.

Segundo ao Microsoft, a vulnerabilidade será corrigida logo, sem declarar se o patch será integrado a um pacote de atualizações separado ou se ele virá no próximo Patch Tuesday, o pacote mensal da MS. No entanto, a empresa já adiantou que o próximo PT não trará um conserto para essa falha.

Para Thompson, a declaração da MS é criticável.

Ao ser perguntado sobre o pacote de correções do IE, a ser lançado em 14/12, ele respondeu: “acho que deveriam lançar antes dessa data!”.

Nem a Symantec ou a AVG perceberam um volume preocupante de exploração dessa falha até o momento.

A Microsoft avisa aos usuários de seu navegador que devem habilitar o DEP, também conhecido por prevenção a exclusão de dados nas versões 7 e 8 do IE. Outra opção é executar um ferramenta de autocorreção disponível neste link, até uma correção oficial estar disponível.

A vulnerabilidade se encontra na renderização de conteúdo HTML e pode ser afetada usando uma tag especial no CSS (cascading style sheet).

Especialistas de segurança da MS alegam que essa vulnerabilidade é de difícil exploração na versão 8 do IE, por este programa habilitar o DEP de forma padrão e tornar a vida dos hackers um pouco mais complicada. Essa afirmação foi comprovada por um hacker especializado em quebrar a segurança de produtos da MS.

Outra alternativa dada pela Microsoft a usuários que temem pela segurança de seus sistemas é usar o IE9 beta, lançado em meados de setembro.

O problema maior desse ataque são os usuários do Internet Explorer 6 que rodam em sistemas Windowx XP, SO incapaz de suportar a versão 9 do navegador.

Os browsers rivais, Chrome, Firefox, Safari e Opera, não estão sujeitos à exploração do bug CSS.