Microsoft alerta para novo ataque que explora falha no Access

IDG News Service/EUA
07/07/2008 - 16h27
São Francisco – Falha ainda sem correção no software de banco de dados da Microsoft dá a crackers capacidade de rodar malwares a partir do IE.

Criminosos estão explorando uma falha em protocolo usado pelo software de banco de dados Access, da Microsoft, em um novo tipo de ataque online, alertou a Microsoft nesta segunda-feira (07/07).

A falha está no controle Snapshot Viewer ActiveX, integrado em todas as versões do Office Access menos o Microsoft Access 2007, afirmou a Microsoft em alerta de segurança publicado nesta segunda.

A Microsoft divulgou poucos detalhes de como o bug está sendo explorando, mas afirmou que investigando o ataque online que se aproveita do problema. "O ataque parece ser focado, e não está infestado", escreveu Bill Sisk, porta-voz da companhia.

Crackers estão tentando enganar vítimas a visitarem uma página maliciosa que tenta rodar código de ataque dentro do navegador Internet Explorer. O bug dá aos crackers uma maneira de rodar software malicioso na máquina da vítima.

O alerta de segurança da Microsoft oferece várias possíveis alternativas para o problema, mas a companhia ainda não revelou planos de divulgar uma correção para a falha.

"Encorajamos clientes afetados a implementar soluções manuais citadas no alerta, que já foram testadas pela Microsoft", afirma Sisk. "Ainda que estas soluções não corrijam a vulnerabilidade, ajudarão a bloquear o que é conhecido como vetores de ataque".

O Snapshot Viewer, que pode ser baixado separadamente, permite que usuários vejam um relatório no Microsoft Access sem ter que rodar o próprio software.

Robert McMillan, editor do IDG News Service, de São Francisco