MS divulga correção para brecha no IE pela 3ª vez.

[jgarcia 1]

Microsoft divulga correção para brecha no IE pela terceira vez.

 

Brecha, cuja correção falhou em agosto e que foi piorada com hotfix divulgado na semana passada, é finalmente corrigida, segundo eEye.

 

Entre os pacotes de correção distribuídos pela Microsoft nesta terça-feira (12/09) está uma atualização para o Internet Explorer, distribuída pela terceira vez, graças a problemas que não foram corrigidos na primeira e segunda versão do patch, admitiu a companhia.

 

No mês passado, a consultoria eEye Digital Security alertou usuários que a atualização de segurança MS06-042, divulgada pela Microsoft em agosto, introduzia uma nova falha de segurança no navegador. A companhia respondeu à nova brecha divulgando uma "hotfix" que consertava a questão.

 

As duas companhias também travaram uma guerra verbal sobre o fato de a eEye ter divulgado a seriedade do problema introduzido pelo MS06-042.

 

Enquanto a Microsoft descreveu o problema como relativamente menor, envolvendo congelamentos de browser, a eEye descobriu que a brecha poderia ser explorada com códigos maliciosos.

 

A Microsoft, então, chamou a divulgação de "irresponsável" e removeu a eEye de sua lista de consultorias creditadas como parceiras.

 

Este, no entanto, não foi o fim da história: a eEye descobriu que o "hotfix" falhava na correção do problema. A segunda atualização, divulgada nesta semana, corrige o problema ignorado pelo primeiro patch do patch, disse a Microsoft.

 

"Com a minuciosa atenção que este pacote recebeu, um pesquisador de segurança revelou a nós que uma vulnerabilidade similar também foi descoberta no Internet Explorer 5, no Internet Explorer 6 com Service Pack 1 (em um local diferente) e na versão original do Windows Server 2003", disse o diretor do grupo de produtos da Microsoft Tony Chor, no IE Blog.

 

"Este pacote e a necessidade de subseqüentes atualizações adicionais foram, absolutamente, uma experiência de aprendizado pra nós", acrescentou. "Este ciclo de atualizações não foi um exemplo do nosso melhor trabalho".

 

Também nesta semana, a Apple alertou que os usuários atualizem para uma nova versão do QuickTime que corrigiu um total de sete buracos de segurança. Atuais versões do QuickTime expõe usuários de Macs e PCs a sérias vulnerabilidades de segurança, disse a Apple.

 

A Apple alertou que o software multimídia é vulnerável a um ataque especialmente formatado em vídeos usando o codec H.264.

 

Os arquivos maliciosos podem forçar um ataque do tipo estouro de memória (do inglês, buffer overflow) que pode congelar a aplicação e permitir a execução de códigos maliciosos com privilégios de usuários, de acordo com a Apple.

 

Uma falha separada também pode ocasionar problemas e permitir a execução de códigos arbitrários, disse a Apple. Os bugs foram corrigidos na versão 7.1.3 do QuickTime, disponível no site da Apple.

 

Fonte: IDG NOW.

 

Link para a notícia original: aqui.

[Prog 183]

Isto é oq eu chamo de correção, é tão bem corrigida que eles fazem 3x que é pra não ter que corrigir denovo. :P

 

Isto me lembra uma piada de português:

O Manuel vai à farmácia e pede 50 natftalinas para matar baratas:
	- Olá, tens aí 50 naftalinas?
Depois de meia hora ele volta:
	- Olá de novo, tens aí mais 50 naftalinas?
Passa-se outra meia hora:
	- Tens aí mais algumas?
O farmacêutico ficou indignado e então resolveu perguntar:
	- Por que estás a comprar tantas naftalinas assim?
	- É para matar barata, mas eu sempre erro, elas são muito rápidas.