Hackers estão explorando nova falha descoberta no Internet Explorer

Brecha ‘zero-day’ atinge milhões de usuários, mas efeito potencialmente maligno pode ser atenuado com troca de navegador ou com procedimentos paliativos simples.

RIO – Hackers já estão se aproveitando de uma nova falha de segurança descoberta no navegador da Microsoft, o Internet Explorer. A brecha deixou mais de metade dos browsers do mundo vulneráveis a ataque, incluindo muitos em computadores do governo federal dos EUA.

De acordo com o “Washington Post”, a Microsoft declarou que estava a par de “ataques limitados” em um aviso de segurança emitido neste sábado. A falha afeta as versões 6 a 11 do navegador, mas as mais atacadas são as versões 9+ — que representam cerca de 26% do mercado total de browsers. No entanto, se forem consideradas todas as versões atingidas, essa fatia sobe para 56%.

A falha foi descoberta pela empresa de segurança FireEye, que chamou a nova onda de ataques “Operação Raposa Clandestina”, e classificou a falha como “zero-day” (dia zero), pois virtualmente não houve intervalo de tempo entre sua descoberta e o primeiro uso da vulnerabilidade.

Mas não basta simplesmente usar uma destas versões do IE para ser infectado: é preciso tomar alguma ação — em geral induzida por outra pessoa ou circunstância —, como clicar em um link ou abrir um anexo de e-mail. Um vez infectada, a máquina da vítima poderá ter software maligno nela instalado sem conhecimento do dono.

Enquanto a falha não é consertada pela Microsoft, a recomendação aos usuários adeptos do IE é que usem um navegador diferente, como Chrome, Firefox ou Safari. Porém, se for essencial usar o browser da Microsoft, a empresa fornece gratuitamente para download a versão 4.1 da “Enhanced Mitigation Experience Toolkit”, que previne contra ataques.

A FireEye sugere também desabilitar o plugin Adobe Flash, pois sem ele os ataques são inócuos. Outra ação recomendada é rodar o IE no “enchanced protection mode”, só disponível para as versões 10 e 11.