Engenheiro do Google reporta à Microsoft falha de segurança no IE

A Microsoft raramente menciona o Internet Explorer (IE), mas quando isso acontece, geralmente significa más notícias.

Na quarta-feira (18/12), a Microsoft lançou uma rara atualização de segurança de emergência para solucionar uma vulnerabilidade crítica no IE9, IE10 e IE11, ainda suportados. A falha foi reportada à Microsoft pelo engenheiro de segurança do Google, Clement Lecigne.

Segundo a Microsoft, os invasores já estão explorando a vulnerabilidade, tornando-a um clássico bug do tipo Zero Day. Por causa disso, a empresa divulgou uma correção antes da próxima rodada de atualizações de segurança marcada para o dia 8 de janeiro.

A atualização foi emitida para o Windows 7, 8.1 e 10 – o último com patches para as versões 1607 e posteriores – bem como o Windows Server 2008, 2012, 2016 e 2019. (Atualizações para algumas versões do Windows 10 – 1607 e 1703 – estavam disponíveis apenas para o Windows 10 Enterprise e o Windows 10 Education.)

“Existe uma vulnerabilidade de execução remota de código na maneira como o mecanismo de script manipula objetos na memória no Internet Explorer”, declarou a Microsoft no documento de suporte CVE-2018-8653. “A vulnerabilidade pode corromper a memória de tal forma que um invasor possa executar código arbitrário no contexto do usuário atual.”

A vulnerabilidade pode ser explorada simplesmente atraindo usuários que executam o IE9, IE10 ou IE11 para um site mal-intencionado, talvez com um e-mail de phishing.

A Microsoft prometeu continuar corrigindo as vulnerabilidades do navegador, mas parou de melhorar ou aprimorá-lo desde 2016. A única razão pela qual a Microsoft ainda atende o IE é que os usuários corporativos do Windows 7, 8.1 e 10 podem continuar a executar aplicativos da Web personalizados e sites de intranet antigos. O futuro, a Microsoft disse várias vezes, é o Edge, que roda somente no Windows 10.

Em novembro, o IE representou apenas 9,6% do share global de usuários de navegadores, medido pelo NetBI, e cerca de 11% de todos os PCs com Windows. Esses números mascaram um problema mais sério: nos últimos 12 meses, o IE perdeu um quinto de seus usuários, uma taxa insustentável de declínio.

A correção de segurança do IE será automaticamente oferecida, baixada e instalada na maioria dos PCs Windows não gerenciados.