Home > Notícias

Microsoft lança atualizações para corrigir 13 falhas no Windows e Office

Número de updates é mais de duas vezes maior do que a companhia costuma oferecer em meses ímpares, quando são liberados poucos patches

Computerworld (EUA)

10/09/2010 às 10h14

Foto:

A Microsoft anunciou na última quinta-feira (10/9) que vai emitir nove atualizações de segurança, que corrigirão 13 bugs no Windows, Office e seu software de servidor Web. O pacote será liberado na próxima terça-feira (14/9).

O número de updates será mais de duas vezes maior do que a companhia costuma oferecer em meses ímpares quando, tradicionalmente, são liberados poucos patches.

Quatro das atualizações são classificadas como “críticas”, o que representa a mais séria no ranking de pontuação da empresa. As outras cinco foram consideradas “importantes”, a segunda nota mais alta. 

“A Microsoft explicou em sua notificação prévia que o pacote é ‘muito substancial’ para seus clientes, disse Wolfgang Kandek, diretor de segurança da Qualys.

A fabricante do Windows tem alternado lotes com grandes e pequenos pacotes de correções, com a liberação de um maior número de patches em meses pares. Em agosto, por exemplo, foram 14 updates, que corrigiram 34 vulnerabilidades. Já em julho, foram quatro patches, que corrigiram cinco falhas.

“É possível que algumas dessas atualizações corrijam os problemas apresentados no DLL”, analisou Kandek. Ele estava se referindo a uma vulnerabilidade encontrada em um grande número de aplicações Windows, que foi divulgada publicamente há três semanas. Na ocasião, foi anunciado que tais programas são falhos porque carregavam incorretamente códigos desta biblioteca – apelidada de “Biblioteca de Vínculo Dinâmico” – permitindo que hackers seqüestrassem um PC enganando o aplicativo com um DLL malicioso.

Uma semana depois, a Microsoft disse que não seria capaz de corrigir o Windows para bloquear esses ataques, mas, declarou que os desenvolvedores de aplicativos teriam de consertar seus próprios produtos. A companhia ainda lançou uma ferramenta de difícil manuseio que bloquearia possíveis ofensivas.

Outros especialistas de segurança afirmaram que várias aplicações do Office, incluindo o PowerPoint 2007 e 2010 e também o Word 2007, são vulneráveis ao bug. Pelos detalhes do aviso prévio, mais precisamente localizado no “Boletim 3”, um dos patches pode ser destinado a corrigir o problema de DLL do editor de textos da empresa.

Oito das nove atualizações afetam uma ou mais versões do Windows; uma delas será um patch para o Microsoft Internet Information Services (ISS), software de servidor Web. E mais dois terão impacto no Office.

“Acho improvável que eles tenham algo para o Windows a respeito do problema de DLL”, disse Kandek. “Até gostaria de vê-lo, mas é uma decisão difícil para eles, porque tem o potencial de fazer apps parar de trabalhar”.

Alguns especialistas em segurança têm especulado que a Microsoft poderia trazer uma nova maneira de proteger os usuários do Windows. Uma hipótese é adicionar um aviso, que apareceria quando um arquivo DLL ou executável é carregado a partir de um site ou de um Server Message Block (SMB). Isso porque os analistas baseavam-se no fato de que a maioria dos usuários não vai implementar uma ferramenta de bloqueio.

A Microsoft pode ainda pegar uma rota alternativa para o problema. Na semana passada, Jerry Bryant, um gerente da divisão Microsoft Security Response Center disse que a empresa iria oferecer a ferramenta de bloqueio para empresas através do Windows Server Update Services (WSUS), um mecanismo usado para gestão de patches. Ele também disse que a Microsoft estava pensando em aplicar a ferramenta para todos, incluindo os consumidores, via Windows Update.

A atualização também será direcionada para versões mais antigas do Windows, observou Don Leatham, diretor sênior de soluções e estratégias de Lumension.

Em um e-mail, Leatham apontou que o Windows XP Service Pack 3 (SP3), a única versão do antigo sistema operacional que a Microsoft ainda oferece suporte, receberá oito atualizações, sendo três delas críticas. O Windows Vista, por outro lado, será afetado por apenas cinco atualizações, duas delas críticas, enquanto o Windows 7 terá apenas três updates, nenhuma crítica.

"Estes resultados mostram que as organizações que usam o Windows 7 estão executando ambientes muito mais seguros e, como um benefício adicional, este patch da próxima terça-feira será praticamente ‘um não-evento’ para eles", disse Leatham. "Organizações ainda presas ao Windows XP terão de olhar com mais atenção para os custos e os fatores de risco associados à permanência nessa plataforma datada".

A Microsoft, que geralmente confirma os alertas de segurança que pretende abordar em seus pacotes de atualização, não comentou sobre um patch que possa evitar o “seqüestro” do DLL  ou a respeito de outros bugs.

"Nós não podemos compartilhar os dados dos boletins que serão lançados neste mês", disse Bryant. "A questão de preloading do DLL ainda está sob investigação. Esperamos que os boletins de segurnaça / updates possam ser úteis na correção dos produtos afetados”.

A Microsoft disse na semana passada que estava estudando novos relatórios de uma vulnerabilidade muito conhecida no Internet Explorer (IE). No entanto, é improvável que uma correção para este bug seja incluída no pacote da próxima terça, pois a empresa sempre especifica iminentes atualizações de segurança no IE com certa antecedência.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail