A Microsoft liberou um grande update de segurança para usuários do Internet Explorer nesta terça-feira (10), empurrando para fora um crítico relatório de segurança que determinou 57 vulnerabilidades no navegador, incluindo cinco falhas que foram identificadas durante a competição hacker Pwn20wn, em março deste ano, realizada durante a CanSecWest Conference, em Vancouver.
Um vendedor de softwares de Redmond, em Washington, revelou sete problemas de segurança, dois classificados como críticos e outros cinco como importantes, abordando 66 vulnerabilidades em toda a linha de produtos no patch de correções de junho de 2014, divulgado na última terça. Além dos problemas no navegador, a companhia também apontou erros impactando o Windows, Office e Lync.
O desenvolvedor de software consertou cinco códigos de erro usados pelos pesquisadores na competição Pwn20wn. A competição, patrocinada pela HP, premiou os pesquisadores de segurança Sebastian Apelt e Andreas Schmidt com US$ 100 mil por explorarem duas vulnerabilidades de memória para burlar o sistema de restrições de segurança do Internet Explorer. Pesquisadores do Google e VUPEN também foram recompensados por explorarem vulnerabilidades no Internet Explorer 11.
Segundo o comunicado da Microsoft, os problemas impactam qualquer versão do Internet Explorer. O update aponta outras vulnerabilidades de memória corrompida no navegador que criminosos poderiam explorar remotamente para invasões, colocar malwares em anúncios de sites ou linkar e anexar em mensagens de e-mail. Ele também aponta diversas falhas que podem permitir ao invasor aumentar os privilégios de usuário no navegador e tornar públicas informações sobre a vulnerabilidade.
O update também é endereçado para outras 17 vulnerabilidades reportadas durante o programa de recompensas por vulnerabilidade Zero-Day Initiative. Uma falha zero-day no Internet Explorer 8, que foi reportada para os vendedores durante o evento de outubro, não foi colocada em foco por mais de 180 dias, provocando um aviso da empresa de pesquisas Corelan e do pesquisador que descobriu o erro no código, Peter Van Eeckhoutte, durante o último mês. A Microsoft disse que estava liberando sistematicamente updates baseados em prioridade e reiterou que nenhuma das vulnerabilidades que foram consertadas neste mês foram atacadas.
De acordo com Chris Goetti, gerenciador de produtos na Shavlik, a divisão de gerenciamento de patchs da LANDesk Software, a equipe de TI da Microsoft precisa colocar os patchs pra funcionar o mais rápido possível para proteger endpoints corporativos.
“Enquanto a Microsoft não indica que possa ter acontecido algum ataque, há sempre uma possibilidade com a divulgação de vulnerabilidades não solucionadas, então será importante resolver esta rapidamente”, explicou Goetti
Wayne Berezan, diretor de desenvolvimento empresarial na OPUS Consulting Group, empresa que trabalha em parceria com a Sophos no que se refere à segurança, relatou que fornecedores de soluções dizem estar constantemente educando os consumidores sobre as necessidades de atualizar sistemas endpoints e serem atentos sobre novos updates liberados pelos vendedores de softwares. Segundo o empresário, o caminho mais fácil para a maioria dos empresários é por meio de ataques web. Em uma recente entrevista à CRN norte-americana, Berezan afirmou que a escala de ameaças impactando a internet está constantemente aumentando.
“Nossos clientes estão olhando constantemente para maneiras de simplificar a detecção de ameaças e encontrar medidas de redução de riscos antes de um problema sério. Várias dessas ameaças vão sem endereços e estão sendo um benefício para cibercriminosos por um longo período”, teorizou Berezan.
O boletim sobre falhas da Microsoft ainda apontou duas vulnerabilidades impactando o Windows, o Office e o Lync. O update é critico para Windows, Microsoft Live Meeting 2007, Microsoft Lync 2010 e Microsoft Lync 2013. As atualizações reparam vulnerabilidades em um manipulador de imagem e processo de script que podem ser explorados remotamente.
Goetti afirmou que os códigos de erro impactam em larga escala o componente de núcleos gráficos e pode ser usado em ataques phishing.
Boletins da Microsoft também apontam para códigos de erro no Lync Server, Word e XML Core Services que foram classificados como importantes. A empresa também consertou um erro do Windows que poderia ser explorado para invadir o sistema operacional e uma falha no software Microsoft´s Remote Desktop, que enfraquece a proteção encriptada e pode ser usada para adulterar uma sessão.
