Uma falha explorável que afetou os principais navegadores do mercado aparentemente tem como culpada uma API do Windows. A descoberta foi realizada pelo time US-CERT (time americano de respostas às emergências de computadores) que agora classifica o problema como 'falha do protocolo URI do Windows'. A Microsoft não lançou nenhum comunicado sobre o assunto até então.
Pelas informações conhecidas até agora, este é o problema: Após a instalação do Internet Explorer 7, a função ShellExecute() do sistema é modifica. Esta é a função do Windows utilizada por qualquer aplicativo para abrir outro programa. Quando o navegador recebe um URI relacionado a um programa local, uma varredura no registro do sistema é realizada para procurar o programa chamado.
O problema é que um URI propositalmente mal formado pode levar o navegador a executar códigos não aprovados, como instruções maliciosas. Na última semana, Billy Rios, pesquisador de segurança da VeriSign, mostrou em seu blog que a falha também pode ser explorada a partir de outros navegadores, como Firefox, Opera e Netspace Navigator 9 - sempre após a instalação do Internet Explorer 7.
Mais informações: BetaNews
