A Microsoft lançou na segunda-feira, dia 11, um pacote de correções (patches) para o Internet Explorer (IE), projetado para eliminar todas as vulnerabilidades do navegador, incluindo seis novos bugs, alguns dos quais considerados graves. No entanto, testes feitos pelo site de tecnologia Newsbytes e por especialistas em segurança mostraram que as correções contêm falhas e o programa continua vulnerável, mesmo depois de aplicados os patches.De acordo com uma reportagem publicada ontem pelo Newsbytes, o pacote da Microsoft elimina apenas parcialmente duas das seis vulnerabilidades, e ainda deixa completamente a descoberto uma falha que permite a um intruso executar programas na máquina atingida.
A falha ficou conhecida como "IE Pop-Up OBJECT Tag Bug," e foi reportada à Microsoft em 10 de janeiro por um pesquisador de segurança que usa o apelido ThePull. Ele publicou uma página onde é possível fazer testes para detectar se o sistema está vulnerável. Foram testados PCs com o IE 6.0 rodando em Windows 98 e 2000, nos quais os patches haviam sido aplicados, e mesmo assim os erros continuaram sendo detectados.
Outra falha do IE descoberta por ThePull, batizada de "Frame Domain Verification Variant via Document.Open function", capaz de transmitir arquivos de um computador atacado para o sistema do intruso, foi corrigida apenas parcialmente.
Ainda um outro problema, encontrado no componente XMLHTTP do IE 6.0, foi corrigido apenas para o Windows 2000, junto com um grande pacote para este sistema lançado há alguns dias. Os testes confirmaram que, no Windows 98, o IE 6.0 continua apresentando a falha mesmo depois da suposta correção. Tal bug permite a um atacante remoto ler e enviar arquivos de um sistema local.
A Microsoft havia publicado os patches cumulativos inicialmente na quinta-feira passada, sob o código q316059. Poucas horas depois, o pacote foi retirado do site da companhia, devido a alguns erros descobertos. Relançado na última segunda-feira, o pacote ainda não está plenamente confiável, como demonstram os testes realizados pelo Newsbytes.
Os patches da Microsoft para o IE podem ser encontrados aqui. Os testes criados por ThePull, aqui.