Os consultores de segurança Billy (BK) Rios, da Verisign, e Nate McFeters, da Ernst & Young, vêm há vários meses realizando pesquisas sobre vulnerabilidades na forma como os programas em Windows lidam com URIs, em especial os diversos esquemas (esquema é a parte inicial do URI, que precede os dois-pontos e especifica o tipo ou protocolo do recurso; como http: e mailto:) e os tratadores de URI registrados no Windows.
Em julho, eles descobriram a Falha no tratamento de URL em Windows XP e 2003 com Internet Explorer 7 instalado, que permite execução de código remoto: Microsoft Security Advisory (943521). Esta vulnerabilidade foi divulgada em final de julho (Secunia SA26201) e consta na lista Common Vulnerabilities and Exposures (CVE) sob o número CVE-2007-3896 — mais informações no National Vulnerability Database (NVD).
A falha foi detectada manifestando-se através do navegador Firefox em Windows XP com Internet Explorer 7 instalado, afetando até a versão 2.0.0.5. Em poucos dias, Firefox e Thunderbird 2.0.0.6 já bloqueavam a falha, registrada como Mozilla Foundation Security Advisory 2007-27. Detalhes podem ser vistos no acompanhamento dos bugs Mozilla 389580 (CVE-2007-4041) e 394974 (CVE-2007-4841).
À época, os mais inflamados da permanente competição Firefox × Internet Explorer levantaram discussões sobre de qual navegador era a “culpa” da vulnerabilidade. Conforme sugeriu o próprio Billy Rios, ambos falharam.
Logo ficou claro que a origem da falha foram mudanças no tratamento de URIs em bibliotecas atualizadas pelo IE7, em Windows XP e 2003. Mas todos os programas que também não tratavam URIs maliciosas para prevenir o problema se tornavam vetores dessa vulnerabilidade ao ativar certos endereços (URIs) internet.
O comportamento falho no processamento de URIs foi detectado e solucionado no Firefox e Thunderbird 2.0.0.6, Skype — corrigido na versão 3.5.0.239 –, Trillian IM — corrigido na versão 3.1.7.0 — entre outros.
O mais recente anúncio de atualização de segurança foi do Adobe Reader/Acrobat 8.1.1 (visualizador/processador de PDF), que também trata a tal falha em Windows XP/2003 com IE7 instalado (Adobe Security bulletin APSB07-18 e CVE-2007-5020, 2007-10-22), que afeta Adobe Reader e Acrobat até versões 8.1 e 7.0.9.
O que mais me impressiona é que o problema de URIs maliciosas está sendo corrigido nos diversos programas afetados, mas a Microsoft até hoje ainda não solucionou a falha original que o IE7 em XP/2003 introduziu em julho!
One Reply to “A falha de URI com XP/2003+IE7 se espalha”