Microsoft libera pacote com 12 atualizações de segurança

[RafaelSonyLock 18]

Correções mais urgentes afetam as versões 7 e 8 do navegador Internet Explorer, mas há remendos até para o editor WordPad.

 

A Microsoft consertou nesta terça-feira (8/12) nada menos que 12 vulnerabilidades do Windows, do Office e do Internet Explorer (IE), incluindo três bugs críticos da última versão de seu navegador, o IE8.

 

Das 12 falhas corrigidas em seis atualizações de segurança divulgadas hoje, sete são consideradas “críticas”, o mais alto nível de severidade no sistema de quatro níveis seguido pela Microsoft. Quatro das falhas remanescentes foram classificadas como “importantes”, um passo abaixo da escala; a última vulnerabilidade foi chamada de “moderada”.

 

Pesquisadores em segurança votaram unanimamente no MS09-072, o pacote de cinco correções para IE, como o que exige atenção urgente.

 

“Este é certamente aquele a seguir”, diz Andrew Storms, diretor de operações de segurança da nCircle Network Security. “Quando se trata do IE, você nunca irá prestar atenção suficiente. Este se destaca.”

 

Vitrine de ataques

Richie Lai, diretor de pesquisa de vulnerabilidade na empresa de segurança Qualys, concorda com Storms. “O MS09-072 afeta o IE, que é uma grande vitrine para ataques”, disse Lai, “e as vulnerabilidades são as primeiras a serem exploradas por ataques clássicos do tipo drive-by”.

 

“Definitivamente, dê uma olhada nessa aí”, disse Jason Miller, o gerente da equipe de segurança e dados da empresa de gerenciamento de correções Shavik Technologies. “Os ataques via browser são os mais explorados de todos os ataques”.

 

Uma das cinco correções incluídas nessa atualização do IE diz respeito à vulnerabilidade do dia zero, que foi confirmada pela Microsoft no mês passado depois que um código-exemplo do ataque, que explorava a falha no analisador de layout do IE, veio a público.

 

Storms aplaudiu a rapidez da Microsoft no conserto dessa falha. “Foi um recorde para a Microsoft corrigir isso em apenas duas semanas”, disse ele, acrescentando que a empresa geralmente leva um mês ou mais para aprontar uma correção.

“A temporada de compras online aumentou a pressão para a correção, mas mesmo assim parece que a Microsoft já sabia do bug”, disse Storms, referindo-se ao crédito que a Microsoft deu à Verisign iDefense pela descoberta da falha.

 

Mas a grande notícia de hoje, disse Storms, Lai e Mille, foi o fato de que das cinco vulnerabilidades do IE resolvidas pelo MS09-072, três afetam a versão mais recente do navegador, o IE8. Duas dessas três afetam apenas o IE8; os outros navegadores da Microsoft estão imunes.

Deprimidos

“Você pode apostar que os engenheiros da Microsoft estão tão deprimidos com esses bugs quanto nós”, disse Storms a respeito das vulnerabilidades do IE8.

 

“A questão é por que eles estão lá”, continuou Storms. “Seria mais fácil explicar se o IE7 e o IE8 estivessem vulneráveis, como é o caso de uma das vulnerabilidades. Mas o fato de duas delas estarem apenas no IE8 nos fazem pensar se o Security Development Lifecycle está funcionando”. O Security Development Lifecycle, ou SDL, é o termo que a Microsoft deu a um processo de desenvolvimento que aprofunda os testes de segurança quando um novo pedaço de software é escrito.

 

“As falhas poderiam estar no código novo ou no velho, mas não sabemos onde eles aparecem no processo (de depuração)”, disse Storms.

 

Storms, Lai e Miller apostam que a falha reside no novo código escrito pela Microsoft para o IE8. “Eu diria que está nos novos recursos”, disse Lai. “A Microsoft fez diversas atualizações de HTML para o IE8 alcançar padrões de conformidade, então estou seguro de que os bugs estão nessa nova base de código.”

 

“Novos recursos significam mais código para ser revisado, e é mais provável que alguma coisa tenha passado despercebida”, Storms comenta. “Quando o código é velho, você espera que ele já tenha sido revisado mais de uma vez.”

 

“Algumas vezes o código é jogado fora e um novo código é utilizado”, disse Miller. “Os bugs estão no código novo e nas novas tecnologias do IE8.”

 

Um mês

A Microsoft avisou que os crackers deverão vir com exploits funcionais para as vulnerabilidades do IE consertadas hoje. A empresa deu, para quatro dos cinco bugs, um índice de “explorabilidade” de 1. Isso significa que códigos de ataque eficazes aparecerão nos próximos 30 dias.

 

As cinco atualizações remanescentes, que consertam outras sete vulnerabilidades – duas delas consideradas críticas - são mais leves, na opinião de Storms. “Todas elas trazem algum tipo de alívio”, disse ele. Esse “alívio” varia de um requerimento para autenticação de acesso a uma porta de ataque que só pode ser explorada por redes sem fio.

 

Os colegas de Lai na Qualys não concordam com Storms. “O MS09-070 requer atenção”, disse Amol Sarwate, gerente do laboratório de pesquisas de vulnerabilidade da Qualys, apontando para o boletim que conserta duas vulnerabilidades do Active Directory da Microsoft, um componente crítico nas empresas.

 

Wolfgang Kandek, principal executivo de tecnologia da Qualys, acrescenta o MS09-073 à lista de atualizações de aplicação automática. O boletim conserta o WordPad, um editor de texto minimalista que vem com todas as versões do Windows, e os conversores de texto usados pela suíte Microsoft Office para abrir documentos do Word 97.

 

“As vulnerabilidades de formato de arquivo tendem a ser subestimadas”, concordou Kandek, “mas todo mundo tem o WordPad. Apesar de uma exploração dessa falha não ser fácil, os crackers não terão problema em descobrir como fazer”.

 

Sem erros

O destaque desse pacote de terça foi a imunidade do novo sistema operacional Windows 7, a quaisquer das atualizações, disseram os pesquisadores. “Com exceção dos bugs do IE8, não havia nada para o Windows 7”, disse Miller. “É um bom sinal”.

 

Mas é muito cedo para cantar a vitória do Windows 7, advertiu Miller. “Lembre-se, ocorreu o mesmo com o Vista quando foi lançado”, lembrou.

 

A Microsoft também divulgou hoje um par de aconselhamentos de segurança que descreve táticas adicionais a usuários e administradores de empresa para que protejam o Windows contra ataques já descobertos, ou que já foram usados no passado.

 

As atualizações de segurança deste mês podem ser baixadas e instaladas via Microsoft Update e Windows Update, bem como por meio do Windows Server Update Services.

 

Fonte: http://pcworld.uol.com.br/noticias/2009/12/09/microsoft-libera-pacote-com-12-atualizacoes-de-seguranca/