Os browsers são uma das principais fontes de problemas de segurança no mundo das tecnologias. Por serem das aplicações que estão mais expostas na Internet, e por interagirem com os serviços que lá se encontram, é por norma aí que surgem as falhas de segurança, que depois se alastram aos sistemas operativos.
A mais recente falha de segurança vem mostrar que o Internet Explorer do Windows Phone tem problemas. Foram 4 as falhas reportadas.
Estas falhas foram descobertas por uma equipa de segurança da HP e de imediato reportadas à Microsoft. As falhas permitem que qualquer atacante consiga, mediante a manipulação do código de uma página web, correr código malicioso nos dispositivos.
O problema está na forma como o IE processa os elementos de tabelas, em HTML, o que leva a que seja possível aceder a outras zonas da memória, normalmente inacessíveis.
The vulnerability relates to how Internet Explorer processes arrays representing cells in HTML tables.
By manipulating a document’s elements an attacker can force a Internet Explorer to use memory past the end of an array of HTML cells. An attacker can leverage this vulnerability to execute code under the context of the current process.
A descoberta do problema ocorreu há mais de seis meses, altura em que a equipa da HP reportou o problema à Microsoft, para que o mesmo fosse corrigido.
Passado 4 meses, período normal dado para a resolução destas falhas de segurança, a Microsoft pediu mais tempo à HP, que concordou.
Mas agora, e porque o período normal de espera terminou, a HP resolveu detalhar a falha, explicando como a mesma pode ser usada.
Apesar de ter reconhecido os problemas, com toda a sua importância e impacto, a Microsoft resolveu que não os iria tratar.
Segundo a empresa a exploração da falha ainda não acontece e as condições para que a mesma seja usada são demasiado numerosas para que a mesma seja usada.
We’re aware of the reports regarding Internet Explorer for Windows Phone. A number of factors would need to come into play, and no attacks have been reported. We continue to monitor the situation and will take appropriate steps to protect our customers.
Não fica clara a razão que levou a Microsoft a ter abandonado a decisão de resolver estes problemas. Se inicialmente pediu tempo para os tratar, acabou por os abandonar.
As causas mais prováveis são o surgimento de outros problemas, como os que foram reportados no caso da Hacking Team, e também a chegada para breve do seu novo browser, o Edge.