Microsoft Alerta para Vulnerabilidade XSS

A consultoria de segurança da Microsoft alerta para uma vulnerabilidade do Windows, que permite que os scripts sejam injetados em websites aparentemente confiáveis. Esse problema é causado por um bug no manipulador MHTML, em todas as versões suportadas do Windows atualmente (Windows XP para o Windows 7, incluindo as versões de servidor correspondente). O erro está em uma DLL do Windows. Dos navegadores comuns, apenas o Internet Explorer faz uso da DLL afetada para mostrar MHTML. Os arquivos MHTML salvos localmente (extensão .mht ou .mhtml ) são, no entanto, abertos por padrão utilizando o Internet Explorer.

MHTML, abreviação de MIME (Multipurpose Internet Mail Extensions) HTML, é utilizado como um arquivo de formato de página da web para combinar recursos a partir de uma página em um único arquivo. Um script executado pode explorar essa vulnerabilidade que seria executada no Internet Explorer, com o contexto de segurança definido para o usuário e um site attacker-specified. Com esses privilégios, um script pode modificar o conteúdo do site especificado, imitar a entrada de dados do usuário ou espionar os dados que o usuário teria introduzido no site.

Em uma postagem no blog de Dave Ross e Chu Chengyun, da equipe de segurança da Microsoft, há uma explicação sobre como testar um sistema de vulnerabilidade, como aplicar uma solução que bloqueia os protocolos de rede e além da descrição de como reativar temporariamente scripting e ActiveX para arquivos MHTML confiáveis. Há também uma série de outras vulnerabilidades do Windows e do IE que já estão sendo exploradas, para as quais a Microsoft lançou "possíveis" soluções, que não corrigiram o problema.


Saiba Mais:

[1] Microsoft Security Advisory (2501696): http://www.microsoft.com/technet/sec...y/2501696.mspx