Portal Now!Digital

Kit de desenvolvimento para DirectX divulgado pela Microsoft em 2002 tem brecha que seqüestra PC que apenas visita site malicioso com IE

O kit de desenvolvimento para DirectX divulgado pela Microsoft em 2002 contém uma vulnerabilidade crítica, um pesquisador polonês alega ter descoberto e divulgado código malicioso que pode seqüestrar micros com Windows ao forçar usuários a entrarem em sites com o Internet Explorer.

De acordo com Krystian Kloskowski, que publicou o código no site milw0rm.com, o controle FlashPix ActiveX integrado ao DirextX Media 6.0 SDK contém uma falha do tipo "estouro de memória" que pode ser explorada.

Mais importante, de acordo com um alerta divulgado pelo US-Cert, no domingo (12/08), "como o controle está classificado como seguro, o Internet Explorer pode ser usado como um vetor de ataque para esta vulnerabilidade".

A versão 6 do navegador pode sofrer ataques pela falha, notou Kloskowski, sem revelar se o IE7 também pode ser usado para o problema. A Microsoft não respondeu aos pedidos de resposta quanto à vulnerabilidade revelada por Kloskowski.

O cenário provável de ataque, descreveu o US-Cert, seria um site malicioso que integra o código malicioso, e links falsos que tentam forçar o clique do usuário.

Ao mesmo tempo, uma mensagem HTML (com o malware escondido) pode ser usada, o que faria com que a infestação acontecesse assim que o e-mail fosse recebido.

A consultoria Secunia classificou a brecha como "altamente crítica", o segundo posto no ranking de severidade composto por cinco níveis.

Já o US-Cert aconselhou usuários a desativar os controles ActiveX ou formatar o navegador da Microsoft para que impeça que o FlashPix altere o Registro do Windows.

Leia também:

• Tecnologia DirectX 10 agora disponível par games
• Gamers reclamam que Windows Vista tem problema para rodar jogos
• Seis razões para ainda não comprar o Windows Vista, da Microsoft

_{*Gregg Keizer é editor da ComputerWorld, em Framingham.}