Ao todo, 7 patches de segurança corrigirão 11 vulnerabilidades do Windows, incluindo a primeira correção para o Internet Explorer 10.A Microsoft anunciou que entregará hoje 7 patches de segurança que corrigirão 11 vulnerabilidades do Windows, incluindo a primeira correção para o Internet Explorer 10. Como no mês passado, a gigante também irá corrigir o Windows 8, o Windows RT e o Windows Server 2012. Segundo disse um desenvolvedor da empresa em um pré-comunicado, cinco das sete atualizações foram classificadas como “crítica”, enquanto que as duas últimas foram identificadas como “importante”.
O diretor de operações de segurança da nCircle Security, Andrew Storms, disse que colocaria o update do Internet Explorer no topo da lista de atualizações.
Na quinta-feira, por e-mail, o pesquisador da Lumension, Paul Henry, disse que os erros no IE9 e IE10 – as únicas versões diretamente afetadas – eram vulnerabilidades de gerenciamento de memória. Pelo rótulo “crítico” da atualização do IE, é provável que o bug possa ser explorado por crackers usando ataques “drive-by” – ataques que executam códigos maliciosos automaticamente, assim que um usuário desavisado navega por uma página maliciosa ou comprometida.
Outras versões do Internet Explorer também serão corrigidas. “A Microsoft está fazendo grandes mudanças no sentido de proteger profundamente os outros browsers”, disse Storms sobre as versões 6, 7 e 8 do Internet Explorer.
A gigante raramente liberou alterações em códigos com o objetivo de reforçar a segurança de um produto, mesmo que ele não esteja tecnicamente vulnerável a ataques. “A idéia geral é que a vulnerabilidade está em uma nova plataforma, e que durante a sua diligência, a Microsoft descobriu o mesmo código [falha] em plataformas antigas”, disse Storms. “Mas porque eles não podiam realmente executar a vulnerabilidade nessas versões mais antigas, eles estão fazendo mudanças apenas por precaução, no caso de, no futuro, se verifique que o bug possa ser explorado.”
Este será o segundo mês consecutivo que a Microsoft libera patches para o IE. Em novembro, corrigiu três bugs críticos no IE9. Na época, Storms argumentou que a Microsoft tinha, provavelmente, também encontrado uma ou mais dessas falhas no IE10, mas conseguiu corrigi-las antes que o navegador fosse lançado em 26 de outubro.
Outras atualizações corrigirão uma ou mais vulnerabilidades críticas no Windows – incluindo uma no Windows 8 e Windows RT; pelo menos uma falha crítica no Word 2003, 2007 e 2010 e algumas falhas críticas do Exchange 2007 e 2010.
Essa última chamou a atenção de Storms. “O Exchange é uma das aplicações corporativas mais críticas, e não é algo que você quer desativar, especialmente em dezembro”, disse Storms.
Mas ele não disse para que as empresas pulassem a atualização do Exchange. “Eles podem muito bem liberar na próxima semana algumas prevenções que podem ser facilmente realizadas”, disse Storms, referindo-se ao hábito da Microsoft de oferecer soluções alternativas para manter o software seguro até que o patch possa ser aplicado. “Nós vamos ter que esperar e ver. Este pode ser uma equação risco-recompensa típica. Vale a pena o risco de aplicar o patch ou melhor deixar pra lá, por enquanto?”
Se as empresas aplicarem a atualização para o Exchange e interromperem seus sistemas de e-mail, especialmente no período mais conturbado do ano, pode se tornar um caos.
Henry disse que o update do Exchange irá abordar novas vulnerabilidades na biblioteca de códigos Outside In, que a Microsoft licenciou da Oracle.
O Exchange utiliza as bibliotecas para exibir anexos de arquivos em um navegador, em vez de abri-los em um aplicativo armazenado localmente, como faz o Word. No passado, falhas no Outside In residiam dentro do código base do Exchange que analisa esses anexos.
A Oracle corrigiu duas vulnerabilidades de baixo risco no Outside In em uma enorme atualização de segurança realizada em outubro.
Se a Microsoft entregar todas as 7 atualizações previstas, a companhia terá liberado 83 boletins de segurança para 2012 – uma queda de 17% com relação a 2011, segundo Storms. A contagem de patch individual, no entanto, vai dimunir apenas 5%, com 196 em 2012, em comparação a 206 do ano anterior.
