terça-feira, 16 de dezembro de 2008

Fecha buraco de segurança, abre um novo buraco ...

A semana não foi boa para usuários de Windows e administradores de redes Microsoft.

Além de um pacote gigante de correções lançado na terça-feira (9), três falhas 'dia zero' resolveram aparecer ao mesmo tempo e duas delas estão sendo exploradas por criminosos.

Microsoft corrige 28 falhas no Windows, Excel, Word, Internet Explorer e outros

Foi nesta semana a segunda terça-feira útil do mês de dezembro, data marcada para o lançamento dos patches da Microsoft. A empresa publicou um total de 8 boletins de segurança, distribuindo correções para 28 vulnerabilidades, 23 delas consideradas “críticas”.

As correções mais importantes estão no primeiro boletim da série, o MS08-070. Ele elimina seis vulnerabilidades graves em controles ActiveX. Usando algumas dessas brechas, um hacker pode criar uma página de internet que, simplesmente ao ser acessada, instala vírus ou ladrões de senha no computador do internauta, sem que este perceba o ocorrido.

Há também um novo pacote cumulativo de correções para o Internet Explorer. Ele recebe esse nome porque inclui todas as modificações de segurança feitas ao IE até agora e, por isso, é geralmente o maior patch disponibilizado. Este mês, quatro novas vulnerabilidades do navegador foram consertadas.

O maior pacote de correções é destinado ao Microsoft Word e está no boletim MS08-072. As oito brechas permitem que arquivos do Word carreguem consigo códigos maliciosos. Um invasor poderia usar o componente afetado para fazer um ataque por meio do Outlook 2007, já que este utiliza o Word para abrir documentos dentro de e-mails. Nesse caso, a simples visualização (leitura) de um e-mail é suficiente para infectar o usuário.

O Excel, o GDI (Graphics Device Interface), o SharePoint, o Windows Explorer e os Windows Media Components também receberam atualizações de segurança. Todos os usuários do Windows terão que aplicar alguns dos patches lançados pela Microsoft este mês.

Divulgadas brechas “dia zero” no Internet Explorer, no WordPad e no SQL Server

Na mesma semana em que um pacotão de atualizações de segurança foi lançado pela Microsoft, três novas vulnerabilidades foram divulgadas. Duas delas podem afetar usuários domésticos.

Não existe correção para essas falhas, por isso são consideradas “dia zero”. Uma falha “dia um” é aquela cujas informações técnicas foram disponibilizadas no mesmo dia da publicação do patch. Uma falha “dia dois” no segundo dia e assim por diante. Quando as informações são publicadas antes mesmo de haver uma correção, diz-se “dia zero”.
Ampliar Foto Foto: Bojan Zdrnja (SANS ISC)/Creative Commons BY-NC Foto: Bojan Zdrnja (SANS ISC)/Creative Commons BY-NC
Código tenta detectar se o internauta usa Windows XP ou 2003 para explorar brecha no Internet Explorer. (Foto: Bojan Zdrnja (SANS ISC)/Creative Commons BY-NC)

A mais grave das três falhas, a do Internet Explorer, foi divulgada em fóruns chineses e já está sendo utilizada por criminosos desde a terça-feira (9). Para ser infectado, basta visualizar um site malicioso ou algum site comprometido.



Não basta ficar longe de “sites maliciosos”, porque qualquer site legítimo pode ser usado, desde que seja encontrada uma falha de segurança ou um departamento comercial sem o conhecimento necessário para bloquear um anúncio malicioso.

Até o momento, o código usado funciona apenas no Internet Explorer 7 nos Windows XP e 2003, porém já existe outro código que funciona também no Windows Vista.

O problema explorável pelo WordPad localiza-se no Conversor de Textos e precisa de um pouco mais interação dos usuários. Em um sistema com o Word instalado – a maioria dos computadores – o arquivo teria que ter a extensão “.wri”, pois o Word “apodera-se” dos demais formatos (por padrão). De acordo com a Microsoft, qualquer arquivo aberto com o WordPad pode ser usado em um ataque. Ainda segundo a empresa, a falha já está sendo usada em ataques “limitados”.

A terceira falha divulgada esta semana, no SQL Server, foi descoberta pela empresa de segurança SEC Consult. A companhia resolveu divulgar as informações porque, segundo ela, a Microsoft tem conhecimento do problema desde abril e prometeu uma correção para setembro, mas nada foi lançado.

Os computadores residenciais e estações de trabalho geralmente não têm o SQL Server instalado, por tratar-se de um servidor de banco de dados usado principalmente por empresas.

Nenhum comentário: