Home > Notícias

Patch Tuesday de março corrigirá oito bugs que afetam Windows e Office

Mas atualização não trará correção para a 'falha do F1' do IE nem para o ataque de dia zero, identificado em novembro de 2009.

Gregg Keizer, da PC World/EUA

05/03/2010 às 12h09

ms_patch_tuesday_150.jpg
Foto:

ms_patch_tuesday_150.jpgA Microsoft informou na quinta-feira (4/3) que o pacote de atualizações mensais conhecido por Patch Tuesday que será publicado na próxima semana será composto por dois boletins de segurança que vão corrigir oito vulnerabilidades que afetam o sistema operacional Windows e a suíte de aplicativos Office.

O volume de correções de março fica bem longe do que foi feito pela empresa em fevereiro, quando a Microsoft emitiu 13 boletins de segurança que corrigiram 26 falhas. Mas isso não chega a ser uma surpresa completa.

“Este é um indicativo do ciclo [de correções] que a Microsoft utiliza. O pacote do mês passado estava mais relacionado ao sistema operacional e neste mês eles estão corrigindo as aplicações”, diz o diretor de operações de segurança da nCircle Network Security, Andrey Storms. Segundo ele, as correções que a Microsoft faz em março, são tradicionalmente, menores, mas destaca que o Patch Tuesday de fevereiro foi algo fora do comum. Storms lembra que, em 2009, o pacote de março trouxe três boletins e, no ano anterior, quatro.

Apesar disso, os dois boletins de março estão sinalizados com “importantes”, o segundo maior grau de severidade na escala usada pela Microsoft. Mas o que chama a atenção é o fato de as vulnerabilidades permitirem que hackers insiram códigos maliciosos em PCs sem os patches, algo que normalmente a Microsoft classifica com pelos menos “crítico”.

Storms acrescenta que, quando a Microsoft classifica algo como ‘importante’ mas também diz que a vulnerabilidade permite a execução remota de códigos, isso normalmente significa que uma situação padrão em que os usuários estão protegidos (mas que pode ser alterada) ou a vulnerabilidade faz parte de um componente que, por padrão, não é carregado pelo sistema operacional.

O primeiro dos dois boletins irá endereçar vulnerabilidades de Windows XP, Vista e Windows 7 e afetam o Windows XP SP3 e o Vista SP2. Tanto as versões de 32 bits quanto de 64 bits dos três sistemas operacionais carregam as falhas, segundo a descrição publicada pela Microsoft.

O segundo boletim vai corrigir falhas que afetam as versões 2002, 2003 e 2007 do Excel na plataforma Windows, bem como as versões 2004 e 2008 do Excel para Mac, além de processos de conversão de arquivos relacionados à planilha de cálculo em várias versões do Office. Storms, da nCircle Network Security, diz que o patch deve corrigir até o Excel no Office 2007 SP2. Segundo ele, isso sugere um problema no formato do arquivo bem como na ferramenta de conversão embutida no Office.

Em um post publicado no blog do MSRC, o gerente do centro de pesquisas em segurança do Microsoft Security Research Center (MSRC), Jerry Bryant, diz que as duas atualizações lidam com bugs que podem ser explorados apenas se os usuários forem levados a abrir arquivos maliciosos, e reitera que “não há vetores para ataques baseados em rede”.

Mas nenhum dos boletins irá trazer correções para as falhas apontadas pela Microsoft, incluindo o ataque de Dia Zero identificado em novembro de 2009. A Microsoft admitiu uma falha do Server Message Block (SMB), um arquivo de rede e protocolo de compartilhamento de arquivos que pode ser usado para ataques e que afeta o máquinas com Windows 7 ou com o Windows Server 2008 R2.

E mesmo vulnerabilidades mais recentes, tais como a que afeta o Internet Explorer e a que envolve o VBScript que poder permitir a PCs com Windows XP rodando o IE serem infectados por malware, e que levou a Microsoft a pedir que os usuários não pressionassem a tecla F1 (ajuda) dentro do browser, serão corrigidas pelo Patch Tuesday de março.

Para Storms, a ausência de correção para o bug do SMB sugere que a Microsoft, ao trabalhar na correção da falha, acabou encontrando outros problemas. “Talvez tenham encontrados novos bugs e estejam trabalhando para corrigir todos ao mesmo tempo”.

Bryant, do MSRC, ressalta que várias versões do Windows estão próximas de terem o suporte encerrado, incluindo o Vista RTM (13/4), Windows XP SP2 (13/7) e Windows 2000 (13/7) e aconselha os usuários para que façam a atualização desses programas.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail