Microsoft entrega hoje a correções para 40 bugs


Serão 17 atualizações de segurança para corrigir 40 vulnerabilidades; uma delas acaba com a brecha do IE que permite ataques 0-day.

A Microsoft entrega na tarde desta terça-feira (14/12) um recorde de 17 atualizações de segurança para corrigir 40 vulnerabilidades em produtos como Windows, Internet Explorer (IE), Office, SharePoint e Exchange.

Entre as 40 patches, duas destinam-se a corrigir bugs que têm sido explorados por hackers.

“Eu realmente não estava esperando 17”, disse Andrew Storms, diretor de operações de segurança da nCircle Security. “Esperava no máximo dez.”

As 17 atualizações – que a Microsoft chama de “boletins” – são um recorde, superando por um a contagem de outubro de 2010.

Os boletins distribuídos nesta terça-feira incluem 40 patches, afirmou a Microsoft. São nove a menos que o recorde de outubro, mas seis mais que o total de outubro de 2009 e junho e agosto deste ano.

O total de boletins do ano – 106 – também foi recorde, bem como o número de vulnerabilidades consertadas com estes updates: 266.

A Microsoft defendeu o ritmo de correções de bugs aplicado em 2010.

“Isso ocorreu em parte por causa do leve aumento de informes sobre vulnerabilidades dos produtos Microsoft... E pelo fato de que a Microsoft fornece suporte aos produtos por até dez anos”, disse Mike Reavey, diretor do Microsoft Security Response Center (MSRC), em um post no blog da equipe.

“Velhos produtos encontram novos métodos de ataques, combinados com o crescimento geral do cenário de vulnerabilidades, resultam em mais informes de vulnerabilidade.”

Número surpreendente
Mas os grandes números de dezembro chamaram a atenção de Storms.

“O grande número de dezembro é surpreendente”, disse Storms. Nos últimos três anos, a Microsoft tem publicado no máximo nove updates em dezembro, afirmou. “E o fato é que muitas empresas não aplicarão os patches antes da primeira semana de 2011.”

Não é apenas que o pessoal dos departamentos de TI estará desfalcado por conta das festas de fim de ano. Eles também não irão pôr em risco o funcionamento dos sistemas em uma época tão crítica como a do Natal.

“Neste caso, haverá menos risco se ninguém fizer nada”, disse Storms. “Isso é especialmente verdadeiro em empresas como as do setor financeiro, que desde novembro já mantêm suas redes trancadas.”

Muitas empresas proíbem a aplicação de correções nos dois últimos meses do ano para assegurar que seus sistemas continuem a funcionar, disse Storms.

Duas das 17 atualizações podem ser exploradas por cibercriminosos para injetar remotamente código malicioso em PCs vulneráveis, afirmou a Microsoft em sua notificação preliminar.

Bug importante
A Microsoft frequentemente rotula os bugs de execução remota de código – os mais perigosos – como importantes sempre que os componentes vulneráveis não são ativados automaticamente ou quando outros fatores podem proteger alguns usuários.

Entre as correções a serem aplicadas hoje está uma que resolve uma vulnerabilidade já descoberta em todas as versões suportadas do IE, disse Reavey.

No começo de novembro, a Microsoft revelou o bug de 0-day do IE e confirmou que os ataques já estavam ocorrendo. Ela não conseguiu produzir e testar um patch a tempo de oferecê-lo na atualização daquele mês, que foi entregue seis dias depois.

A atualização do IE é uma das que foram marcadas como críticas, e vai afetar todas as versões do navegador, com a possível exceção do IE9, que ainda está em modo Preview.

A Microsoft também pretende consertar a última das quatro vulnerabilidades do Windows que foram usadas pelo famoso worm Stuxnet, para se infiltrar em sistemas de controle industrial, disse Reavey.

Até onde a Microsoft sabe, o bug – que permite aos invasores elevar os privilégios de acesso de um PC comprometido – não foi explorado por outro malware além do Stuxnet.

Mas o código que explora a vulnerabilidade está disponível na Internet há semanas.

Servidor Exchange
Das 17 atualizações, 13 afetam uma ou mais versões do Windows; duas consertam o Office e o Microsoft Works para Windows; os servidores Exchange e SharePoint terão uma correção cada.

Storms preocupa-se com a atualização do Exchange.

“Qualquer coisa que tenha a ver com e-mail me preocupa”, disse, acrescentando que, como o servidor precisa estar exposto ao mundo exterior, poderá haver vetores de ataque facilmente exploráveis. “O SharePoint, por sua vez, fica geralmente muito bem protegido dentro da rede”, disse.

Também de interesse, de acordo com Storms, é o que a Microsoft identificou apenas como “Boletim 2”, uma atualização que afeta todas as versões do Windows mas que foi classificada como crítica para as novas versões, incluindo Windows Vista, Windows 7 e Server 2008. O mesmo boletim foi marcado como importante para os velhos Windows XP e Server 2003.

A Microsoft pretende liberar as 17 atualizações às 13 horas da Costa Leste dos EUA (16 horas no horário brasileiro de verão).
Fonte [IDG NOW]

0 comentários:

Postar um comentário