A Terça-Feira dos Patches Microsoft de outubro (14) trouxe, além dos esperados 11 boletins de segurança que consertam 20 brechas em programas da empresa, um novo “índice de exploração”. O índice, dado a cada boletim junto da já existente classificação (Crítica, Importante, Moderada, Baixa), tenta prever quais as chances de que um bom exploit — código que tira proveito da brecha — será criado.
O Índice de Exploração (“Exploitability Index”, em inglês) consiste em um número de 1 a 3 dado a cada brecha. Se uma falha recebe o índice “1”, isto significa que um código capaz de tirar proveito dela provavelmente será criado e que este código funcionará de forma consistente, ou seja, a criação de um bom exploit é relativamente simples. No caso do índice “2”, o aparecimento de um código malicioso é possível, porém o mesmo poderá ser instável e não funcionar muito bem. Já uma classificação “3” indica que a criação de um exploit é improvável.
O índice se diferencia da classificação tradicional por não ser aplicado ao boletim como um todo, nem ao software específico, mas à brecha em si. A classificação (Crítica, Importante…) é dada a cada brecha, para cada plataforma ou versão afetada, e também ao boletim, sendo a classificação deste último a mais severa entre todas.
Em outras palavras, se um boletim corrige uma brecha que é Crítica no Windows 2000 mas de Baixa gravidade no Windows XP, o boletim é classificado como Crítico. Mesmo que o boletim corrija cinco brechas e apenas uma delas em uma única versão do software seja crítica, a classificação do boletim ainda será “Crítico”.
O novo índice não substitui, portanto, a classificação existente, mas a complementa.
Neste mês, oito das 20 brechas consertadas receberam um “1” no indice de exploração. Uma delas está no Excel e é descrita, junta de mais duas de índice “2”, no boletim MS08-057.
Duas outras vulnerabilidades de índice “1” estão presentes no Internet Explorer, conforme o boletim MS08-058, que traz um novo pacote cumulativo de remendos para o navegador web. Uma das seis novas falhas consertadas no Internet Explorer foi divulgada publicamente antes mesmo da criação do patch e não recebeu uma avaliação do novo Índice.
Os outros boletins lançados consertam problemas em softwares usados principalmente em redes corporativas, como Active Directory e Internet Printing Service (IIS).
As correções podem ser obtidas por meio do Microsoft Update. As atualizações automáticas do Windows são também uma ótima opção.
Horário de verão
Quem não aplicou o patch do “Horário de verão” teve problemas com o relógio do Windows, que se adiantou em uma hora no último sábado (12), uma semana antes de quando de fato deveria. A Microsoft disponibiliza um passo-a-passo para instalar uma correção capaz de consertar a mudança automática para o horário de verão do Windows.
Leia mais
- Resumo dos boletins de outubro no site da Microsoft[1. Por erro na tradução, o “Índice de exploração” de todas as brechas é ‘2’. Na página em inglês, como se pode ver, este não é o caso]
Linha Defensiva 