A Microsoft detalhou ontem, no aviso/relatório de segurança 977981, uma nova vulnerabilidade descoberta no Internet Explorer 6 e 7, incidentes nos Windows XP, Vista, Server 2003 e Server 2008.

A falha ocorre quanto o navegador tenta acessar um arquivo de estilo (CSS) previamente apagado, puxando, ao invés dele, um contendo código malicioso que pode dar poderes da conta para o usuário mal intencionado.

Uma correção já está sendo criada, e há chances de que ela seja lançada assim que estiver pronta, fora, portanto, do ciclo de atualização mensais, cuja próxima data está marcada para 8 de dezembro.

Por ora, a Microsoft sugere alguns workarounds, como aumentar o nível de segurança da zona Internet para "alto", e/ou habilitar o DEP (Data Execution Protection) no IE6 SP2 e IE7. Ambos os procedimentos, além de um terceiro, são descritos passo-a-passo no boletim.

A melhor prevenção, para quem pode, é fazer a atualização para o Internet Explorer 8, que é imune ao problema.

Fonte: Ars Technica.