Pesquisador anuncia vulnerabilidade que atinge todos os browsers e especialmente o IE8

O pesquisador de segurança Michal Zalewski anunciou uma ferramenta chamada cross_fuzz – um “DOM binding fuzzer” que explora uma vulnerabilidade que, segundo ele, está “presente em todos os browsers do mercado”. A ferramenta faz o navegador travar, podendo ser utilizada por usuários maliciosos para causar uma condição de negação de serviço (DoS). Michal acredita ainda que outros pesquisadores podem ter descoberto a técnica independentemente e estarem utilizando-a como um 0-day.

Todos os browsers são afetados (Internet Explorer, Mozilla Firefox, browsers WebKit (Chrome, Safari e afins) e Opera). Especificamente no caso do Internet Explorer 8, existe a suspeita de que a técnica esteja sendo usada também para disparar a execução de código arbitrário. Veja mais informações sobre o cross_fuzz em lcamtuf’s blog: Announcing cross_fuz, a potential 0-day in circulation, and more e sobre a vulnerabilidade do Internet Explorer em US-CERT Vulnerability Note VU#427980.