Início > A Empresa > Notícias > Detalhes da notícia

Detalhes da notícia

Microsoft corrige brecha crítica relacionada ao Internet Explorer.

17/07/2009

Colunista resume as notícias da semana sobre segurança.

A terça-feira (14) desta semana trouxe o pacote mensal de correções de segurança da Microsoft. Entre as nove brechas eliminadas está a que colocou usuários do Internet Explorer em risco na semana passada, quando criminosos exploraram ativamente o problema, forçando a Microsoft a liberar uma solução temporária.

Também nesta semana: Código explora brecha no Firefox 3.5, site "milw0rm" volta a operar, mudança na Central de Segurança do Windows pode gerar alertas.

Microsoft corrige brecha que deixou Internet Explorer vulnerável

Foi nesta terça-feira (14) a segunda terça-feira útil do mês de julho. É nesse dia que a Microsoft lança correções de segurança para seus produtos, e este mês não foi diferente. No entanto, o pacote de correções desse mês traz uma solução definitiva para a brecha no componente ActiveX do DirectShow.

Na semana passada, a gravidade do problema forçou a Microsoft a disponibilizar uma solução temporária. Criminosos já estavam utilizando a brecha em sites maliciosos na web, mas usuários não tinham meios de se proteger. O boletim publicado esta semana para dar informações sobre a atualização de segurança é o MS09-028.

Outros cinco boletins também foram publicados. O MS09-032 atualiza a lista de “killbits”, que desativa componentes inseguros ou potencialmente inseguros do Internet Explorer. A classificação desses dois boletins é “Crítica”, assim como no MS09-029, que aborda um erro no processamento de fontes.

Os demais boletins receberam a classificação “Importante”. Dois deles não atingem a maioria dos usuários: o MS09-033 fala de um problema no VirtualPC, enquanto o MS09-031 é focado em uma vulnerabilidade no firewall corporativo ISA Server. O MS09-030 é relevante para usuários do Publisher, software do pacote Office.

O blog de segurança da Microsoft Brasil, Negócio de Risco, publicou um resumo informativo dos boletins deste mês, com a tabela da foto acima.

As atualizações podem ser instaladas a partir de links no site da Microsoft, em cada boletim. Mas a maneira recomendada é por meio das atualizações automáticas do Windows, que podem ser configuradas no Painel de Controle. 

   Usuários continuam vulneráveis 

Na segunda-feira (13), um dia antes da publicação do pacote de correções, começaram a circular na rede novos ataques usando brechas sem correção. O alvo dos novos golpes são os usuários do Internet Explorer com Microsoft Office instalado, como já noticiado pelo G1 .

Da mesma forma que o recém-corrigido problema no DirectShow, os erros estão localizados em componentes ActiveX. O componente ActiveX vulnerável é responsável pela exibição de planilhas do Excel em páginas web. Um indivíduo malicioso pode criar uma página capaz de executar código malicioso no sistema da vítima, para instalar vírus ou realizar outras ações do gênero.

A Microsoft disponibilizou uma página com o botão “Fix-It” que oferece o download de um programa que desativa o componente problemático, novamente como solução temporária para o erro. 

Firefox 3.5 é alvo de brecha sem correção

Foi publicado nesta semana um código capaz de explorar uma vulnerabilidade no navegador web Mozilla Firefox 3.5. Até o fechamento da coluna, não havia uma atualização disponível para eliminar a brecha, embora soluções temporárias tenham sido propostas.

O código foi inicialmente divulgado no milw0rm. O site, que havia aparentemente encerrado as atividades na semana passada – como informado por esta coluna – voltou ao ar esta semana. Seu dono, conhecido como “str0ke”, afirmou que vai transferir o controle do site para um grupo de amigos. Isso permitirá que a página – que funciona como repositório de códigos para exploração de brechas – continue online.

Falhas sem correção recebem o nome de “dia zero”. 

Mudança na Central de Segurança do Windows pode gerar alertas

 

Central de Segurança do Windows monitora configurações e programas de segurança para notificar o usuário no caso de problemas. (Foto: Reprodução)

Uma mudança nos “bastidores” da “Central de Segurança” do Windows estava agendada para ocorrer em setembro. A Microsoft informou em maio que estava trabalhando com desenvolvedores para agilizar a mudança, introduzida por uma modificação de interface do Windows Vista SP1 e, agora, também no Windows 7. A novidade altera a maneira como os programas devem informar à Central de Segurança que estão funcionando corretamente.

No entanto, a mudança ocorreu antes do previsto, e já está valendo, o que pegou alguns desenvolvedores de surpresa.

Por isso, se você receber alertas de que não há um antivírus detectado, o “problema” pode ter sido essa mudança: seu programa não está preparado para se comunicar com a Central de Segurança, o que fará com que o Windows gere o aviso e mostre o escudo vermelho próximo ao relógio do sistema.

Verifique manualmente se o seu antivírus está funcionando. Se tudo estiver bem, procure ou aguarde uma atualização.

Essas foram as principais notícias da semana na área de segurança. A coluna Segurança para o PC volta na segunda-feira (20) com exemplos de alguns golpes usados por criminosos brasileiros para convencer internautas a clicarem em links maliciosos em mensagens de e-mail.

fonte: G1