Nos 9 boletins de agosto, publicados ontem (14/08), a Microsoft documentou e corrigiu 14 brechas de segurança. As falhas, em sua maioria críticas, afetam o Microsoft Excel, todas as versões ainda em suporte do Windows, Windows Media Player, Internet Explorer — nas versões 6 e 7 — e o Virtual PC.

Usuários de Internet Explorer terão que instalar vários patches para continuar navegando na web com tranqüilidade. Dos 9 boletins, cinco (MS07-042, MS07-043, MS07-045, MS07-046 e MS07-050) tratam de falhas que afetam diretamente o Internet Explorer ou podem ser exploradas por meio do navegador. Nos piores casos, estas falhas podem permitir a instalação de vírus.

Usuários que costumam receber arquivos do Excel de fontes desconhecidas deverão tomar cuidado com o boletim MS07-044. A brecha corrigida neste boletim permite que arquivos maliciosos abertos no Excel instalem vírus no computador — o que normalmente não é possível (com exceção dos vírus de Macro, dos quais versões mais recentes do Office possuem alguma proteção também).

Quem utiliza máquinas virtuais, especialmente os que procuram ficar mais seguros durante seu uso, devem observar o boletim MS07-049. Usando a falha descrita nele, um atacante poderia fazer com que um programa executado no ambiente virtual alterasse o ambiente real do sistema operacional, eliminando a camada de proteção criada pelo uso Virtual PC.

Usuários do Windows Media Player que trocam freqüentemente de skins terão interesse em aplicar o patch do boletim MS07-047, que corrige uma brecha no processamento de skins que poderia permitir que uma skin executasse código no sistema.

Os patches podem ser obtidos por meio do Microsoft Update ou da atualização automática, configurável por meio do Painel de Controle.

Resumo dos Boletins

  • MS07-042: Uma falha crítica no XML Core Services. O XML Core Services acompanha o Windows e também algumas algumas versões do Office (2003 e 2007. A classificação do patch é crítica para todos (inclusive para o Windows Vista), sendo a única exceção o Windows 2003. A falha permite que um website malicioso consiga executar código (instalar vírus) no PC da vítima.
  • MS07-043: Uma falha de corrupção de memória na automação OLE pode ser explorada por meio de uma página web para instalar vírus em um sistema afetado. De acordo com a Microsoft, a falha é crítica para o Windows XP, 2000, para o SP6 do Visual Basic 6.0 e para o Office 2004 para Mac. No Windows 2003, apresenta uma classificação “moderada”.
  • MS07-044: Este boletim trata de uma falha no Microsoft Excel, mas admite que “outras falhas foram encontradas durante o curso da investigação”. A brecha afeta o Office versões 2000, XP, 2003 e 2004 para Mac. Caso um usuário abra um arquivo malicioso feito especialmente para explorar esta brecha em uma versão vulnerável do Excel, o arquivo poderá instalar vírus no computador. A falha é critica para o Office 2000.
  • MS07-045: Patch cumulativo para o Internet Explorer que resolve três novas falhas de segurança. O patch é considerado crítico para os Windows 2000 e XP, “Importante” para o Vista e XP com IE7, “Moderado” no Windows 20003 com IE6 e de “baixa prioridade” para Windows 2003 com IE7. As brechas são críticas e podem permitir que websites maliciosos instalem vírus no PC. Este patch é de alta prioridade.
  • MS07-046: Uma falha crítica que afeta o GDI nos Windows 2000, XP e 2003. O GDI é responsável pelo processamento de imagens no Windows, portanto, se este patch não for aplicado, arquivos de imagem maliciosos poderão comprometer o sistema caso abertos.
  • MS07-047: Considerado “Importante”, o patch descrito neste boletim corrige duas brechas de segurança no Windows Media Player. As falhas permitem que skins (“peles”) maliciosas para o Windows Media Player instalem vírus no computador.
  • MS07-048: Afeta exclusivamente o Vista. Considerado “Importante”, corrige três falhas no processamento dos gadgets do Windows. Para explorar estas vulnerabilidades, um invasor precisa de cooperação do usuário, como, por exemplo, forçá-lo a cadastrar um feed RSS no gadget de Manchetes.
  • MS07-049: Resolve uma falha no Virtual PC, o software de virtualização da Microsoft. Considerado “Importante”, o patch elimina um problema existente nas versões 2004 e 2005 do programa que permite que um software executado dentro do ambiente virtual passe para o sistema operacional real do computador.
  • MS07-050: Corrige uma falha no processamento na linguagem VML. O patch é considerado crítico para todas as plataformas, inclusive Windows Vista e 2003 com Internet Explorer 7. Usando esta falha, um atacante pode criar uma página web maliciosa que, ao ser visitada com o Internet Explorer, execute programas (tais como vírus) no sistema do usuário.

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Todos os posts Website

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Gravatar
Logo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Cancelar

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.