A Microsoft liberou um grande update de segurança para usuários do Internet Explorer nesta terça-feira (10), empurrando para fora um crítico relatório de segurança que determinou 57 vulnerabilidades no navegador, incluindo cinco falhas que foram identificadas durante a competição hacker Pwn20wn, em março deste ano, realizada durante a CanSecWest Conference, em Vancouver.
As melhores notícias de tecnologia B2B
Acompanhe todas as novidades diretamente na sua caixa de entrada
Um vendedor de softwares de Redmond, em Washington, revelou sete problemas de segurança, dois classificados como críticos e outros cinco como importantes, abordando 66 vulnerabilidades em toda a linha de produtos no patch de correções de junho de 2014, divulgado na última terça. Além dos problemas no navegador, a companhia também apontou erros impactando o Windows, Office e Lync.
O desenvolvedor de software consertou cinco códigos de erro usados pelos pesquisadores na competição Pwn20wn. A competição, patrocinada pela HP, premiou os pesquisadores de segurança Sebastian Apelt e Andreas Schmidt com US$ 100 mil por explorarem duas vulnerabilidades de memória para burlar o sistema de restrições de segurança do Internet Explorer. Pesquisadores do Google e VUPEN também foram recompensados por explorarem vulnerabilidades no Internet Explorer 11.
Segundo o comunicado da Microsoft, os problemas impactam qualquer versão do Internet Explorer. O update aponta outras vulnerabilidades de memória corrompida no navegador que criminosos poderiam explorar remotamente para invasões, colocar malwares em anúncios de sites ou linkar e anexar em mensagens de e-mail. Ele também aponta diversas falhas que podem permitir ao invasor aumentar os privilégios de usuário no navegador e tornar públicas informações sobre a vulnerabilidade.
O update também é endereçado para outras 17 vulnerabilidades reportadas durante o programa de recompensas por vulnerabilidade Zero-Day Initiative. Uma falha zero-day no Internet Explorer 8, que foi reportada para os vendedores durante o evento de outubro, não foi colocada em foco por mais de 180 dias, provocando um aviso da empresa de pesquisas Corelan e do pesquisador que descobriu o erro no código, Peter Van Eeckhoutte, durante o último mês. A Microsoft disse que estava liberando sistematicamente updates baseados em prioridade e reiterou que nenhuma das vulnerabilidades que foram consertadas neste mês foram atacadas.
De acordo com Chris Goetti, gerenciador de produtos na Shavlik, a divisão de gerenciamento de patchs da LANDesk Software, a equipe de TI da Microsoft precisa colocar os patchs pra funcionar o mais rápido possível para proteger endpoints corporativos.
“Enquanto a Microsoft não indica que possa ter acontecido algum ataque, há sempre uma possibilidade com a divulgação de vulnerabilidades não solucionadas, então será importante resolver esta rapidamente”, explicou Goetti
Wayne Berezan, diretor de desenvolvimento empresarial na OPUS Consulting Group, empresa que trabalha em parceria com a Sophos no que se refere à segurança, relatou que fornecedores de soluções dizem estar constantemente educando os consumidores sobre as necessidades de atualizar sistemas endpoints e serem atentos sobre novos updates liberados pelos vendedores de softwares. Segundo o empresário, o caminho mais fácil para a maioria dos empresários é por meio de ataques web. Em uma recente entrevista à CRN norte-americana, Berezan afirmou que a escala de ameaças impactando a internet está constantemente aumentando.
“Nossos clientes estão olhando constantemente para maneiras de simplificar a detecção de ameaças e encontrar medidas de redução de riscos antes de um problema sério. Várias dessas ameaças vão sem endereços e estão sendo um benefício para cibercriminosos por um longo período”, teorizou Berezan.
O boletim sobre falhas da Microsoft ainda apontou duas vulnerabilidades impactando o Windows, o Office e o Lync. O update é critico para Windows, Microsoft Live Meeting 2007, Microsoft Lync 2010 e Microsoft Lync 2013. As atualizações reparam vulnerabilidades em um manipulador de imagem e processo de script que podem ser explorados remotamente.
Goetti afirmou que os códigos de erro impactam em larga escala o componente de núcleos gráficos e pode ser usado em ataques phishing.
Boletins da Microsoft também apontam para códigos de erro no Lync Server, Word e XML Core Services que foram classificados como importantes. A empresa também consertou um erro do Windows que poderia ser explorado para invadir o sistema operacional e uma falha no software Microsoft´s Remote Desktop, que enfraquece a proteção encriptada e pode ser usada para adulterar uma sessão.