A Terça-Feira dos Patches Microsoft de outubro (14) trouxe, além dos esperados 11 boletins de segurança que consertam 20 brechas em programas da empresa, um novo “índice de exploração”. O índice, dado a cada boletim junto da já existente classificação (Crítica, Importante, Moderada, Baixa), tenta prever quais as chances de que um bom exploit — código que tira proveito da brecha — será criado.

O Índice de Exploração (“Exploitability Index”, em inglês) consiste em um número de 1 a 3 dado a cada brecha. Se uma falha recebe o índice “1”, isto significa que um código capaz de tirar proveito dela provavelmente será criado e que este código funcionará de forma consistente, ou seja, a criação de um bom exploit é relativamente simples. No caso do índice “2”, o aparecimento de um código malicioso é possível, porém o mesmo poderá ser instável e não funcionar muito bem. Já uma classificação “3” indica que a criação de um exploit é improvável.

O índice se diferencia da classificação tradicional por não ser aplicado ao boletim como um todo, nem ao software específico, mas à brecha em si. A classificação (Crítica, Importante…) é dada a cada brecha, para cada plataforma ou versão afetada, e também ao boletim, sendo a classificação deste último a mais severa entre todas.

Em outras palavras, se um boletim corrige uma brecha que é Crítica no Windows 2000 mas de Baixa gravidade no Windows XP, o boletim é classificado como Crítico. Mesmo que o boletim corrija cinco brechas e apenas uma delas em uma única versão do software seja crítica, a classificação do boletim ainda será “Crítico”.

O novo índice não substitui, portanto, a classificação existente, mas a complementa.

Neste mês, oito das 20 brechas consertadas receberam um “1” no indice de exploração. Uma delas está no Excel e é descrita, junta de mais duas de índice “2”, no boletim MS08-057.

Duas outras vulnerabilidades de índice “1” estão presentes no Internet Explorer, conforme o boletim MS08-058, que traz um novo pacote cumulativo de remendos para o navegador web. Uma das seis novas falhas consertadas no Internet Explorer foi divulgada publicamente antes mesmo da criação do patch e não recebeu uma avaliação do novo Índice.

Os outros boletins lançados consertam problemas em softwares usados principalmente em redes corporativas, como Active Directory e Internet Printing Service (IIS).

As correções podem ser obtidas por meio do Microsoft Update. As atualizações automáticas do Windows são também uma ótima opção.

Horário de verão

Quem não aplicou o patch do “Horário de verão” teve problemas com o relógio do Windows, que se adiantou em uma hora no último sábado (12), uma semana antes de quando de fato deveria. A Microsoft disponibiliza um passo-a-passo para instalar uma correção capaz de consertar a mudança automática para o horário de verão do Windows.

Leia mais

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s