A Microsoft lançou 10 boletins de segurança que corrigem nada menos que 26 falhas de segurança no Windows e Office. 16 das falhas corrigidas pelo “pacotão” estão presentes no Office e são mais graves nas versão 2000 do programa. No Windows, o patch mais importante é o MS06-057, que corrige uma falha do Internet Explorer que já é explorada na Internet.

O lançamento dos patches de outubro também marca o fim do suporte ao Windows XP Service Pack 1. Apenas patches compatíveis com o Service Pack 2 devem ser lançados no futuro, o que efetivamente obriga os usuários de Windows XP a instalarem o Service Pack em seus sistemas caso queiram continuar seguros contra as novas brechas de segurança.

Mesmo com as correções, a Microsoft ainda deixou uma falha conhecida sem remédio. A brecha presente no daxctle.ocx e que afeta o Internet Explorer ainda não está corrigida, porém as tentativas de uso da falha para instalar código malicioso não têm tido muito sucesso. A Microsoft priorizou a falha do Setslice (MS06-057), que, mesmo sendo mais nova, ainda é mais prevalente do que a falha do daxctle.ocx.

Como obter os patches

Você pode obter as correções no Windows Update, porém as correções para o Office não são baixadas automaticamente por lá. Se você utiliza Office XP ou 2003, o Microsoft Update pode ser utilizado para baixar os patches.

Se você possui o Word ou outro software “standalone” do Office, ou ainda usa o Office 2000, é necessário utilizar o Office Update para obter as correções de forma automática para o programa.

  • MS06-056: Falha que possibilita revelação de informações e dados através de XSS em sites ASP.NET. Afeta somente servidores web, portanto não é de alto risco para usuários domésticos.
  • MS06-057: Corrige a última falha do Internet Explorer que já está sendo explorada em alguns sites da web. Patch extremamente crítico. Deve ser aplicado imediatamente.
  • MS06-058: Boletim detalhando quatro falhas no Microsoft PowerPoint. As falhas estão presentes as versões 2000, XP e 2003 do PowerPoint e permitem a execução de código (instalação de vírus) em um sistema vulnerável onde for aberto um arquivo do PowerPoint. As falhas também estão presentes nas versões do Office para Mac.
  • MS06-059: Como o boletim acima, porém afeta o Excel. Mais quatro falhas que também podem permitir a execução de vírus.
  • MS06-060: Mais quatro correções para o Office, desta vez para o Word. Também podem permitir a execução de código malicioso em um arquivo DOC.
  • MS06-061: Patch crítico que corrige uma brecha no processamento de XML. A falha pode ser explorada pelo Internet Explorer e pode possibilitar a instalação de vírus.
  • MS06-062: Último boletim que descreve falhas no Office. São quatro falhas que afetam toda a suíte Office e que também podem permitir a instalação de vírus.
  • MS06-063: Patch Importante que detalha duas falhas presente no serviço Servidor. Uma delas apenas permite o travamento do computador, enquanto a outra poderia possibilitar a execução de código, porém necessita de autenticação. A aplicação do patch é importante, mas o problema pode ser remediado com um firewall.
  • MS06-064: Vulnerabilidade que permite travar um computador que esteja dentro de uma rede IPv6. A maioria dos usuários provavelmente não precisa se preocupar com essa, pois grande parte da Internet ainda funciona com uma versão mais antiga do IP, o IPv4.
  • MS06-065: Brecha que afeta somente as versões XP e 2003 do Windows. Está presente no Gerenciador de Objetos e pode permitir que certos arquivos feitos de forma especial sejam capazes de executar código. É necessária uma quantidade significativa de interação do usuário, portanto o patch recebeu uma classificação “Moderada”.
Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.