DATA DA PUBLICAÇÃO 13/12/2008 | Informática
Microsoft libera pacote de segurança, mas falhas são descobertas no Windows
A semana não foi boa para usuários de Windows e administradores de redes Microsoft. Além de um pacote gigante de correções lançado na terça-feira (9), três falhas 'dia zero' resolveram aparecer ao mesmo tempo e duas delas estão sendo exploradas por criminosos. Também nesta semana, um twitter falso do 'pai da internet' foi suspenso por spam e a chefe de segurança na Mozilla anunciou que irá deixar a organização.
Antes de falar do que rolou nesta semana, um anúncio a todos que pediram RSS da coluna: foi iniciado um Twitter, disponível em http://twitter.com/g1seguranca. Lá serão divulgados links para cada coluna publicada, outras notícias de segurança do G1 e comentários (breves, porque no Twitter não pode ser de outro jeito). O Twitter pode ser acompanhado também por RSS, então é um bom substituto.
>>>> Microsoft corrige 28 falhas no Windows, Excel, Word, Internet Explorer e outros
Foi nesta semana a segunda terça-feira útil do mês de dezembro, data marcada para o lançamento dos patches da Microsoft. A empresa publicou um total de 8 boletins de segurança, distribuindo correções para 28 vulnerabilidades, 23 delas consideradas “críticas”.
As correções mais importantes estão no primeiro boletim da série, o MS08-070. Ele elimina seis vulnerabilidades graves em controles ActiveX. Usando algumas dessas brechas, um hacker pode criar uma página de internet que, simplesmente ao ser acessada, instala vírus ou ladrões de senha no computador do internauta, sem que este perceba o ocorrido.
Há também um novo pacote cumulativo de correções para o Internet Explorer. Ele recebe esse nome porque inclui todas as modificações de segurança feitas ao IE até agora e, por isso, é geralmente o maior patch disponibilizado. Este mês, quatro novas vulnerabilidades do navegador foram consertadas.
O maior pacote de correções é destinado ao Microsoft Word e está no boletim MS08-072. As oito brechas permitem que arquivos do Word carreguem consigo códigos maliciosos. Um invasor poderia usar o componente afetado para fazer um ataque por meio do Outlook 2007, já que este utiliza o Word para abrir documentos dentro de e-mails. Nesse caso, a simples visualização (leitura) de um e-mail é suficiente para infectar o usuário.
O Excel, o GDI (Graphics Device Interface), o SharePoint, o Windows Explorer e os Windows Media Components também receberam atualizações de segurança. Todos os usuários do Windows terão que aplicar alguns dos patches lançados pela Microsoft este mês.
>>>> Divulgadas brechas “dia zero” no Internet Explorer, no WordPad e no SQL Server
Na mesma semana em que um pacotão de atualizações de segurança foi lançado pela Microsoft, três novas vulnerabilidades foram divulgadas. Duas delas podem afetar usuários domésticos.
Não existe correção para essas falhas, por isso são consideradas “dia zero”. Uma falha “dia um” é aquela cujas informações técnicas foram disponibilizadas no mesmo dia da publicação do patch. Uma falha “dia dois” no segundo dia e assim por diante. Quando as informações são publicadas antes mesmo de haver uma correção, diz-se “dia zero”.
Não basta ficar longe de “sites maliciosos”, porque qualquer site legítimo pode ser usado, desde que seja encontrada uma falha de segurança ou um departamento comercial sem o conhecimento necessário para bloquear um anúncio malicioso.
Até o momento, o código usado funciona apenas no Internet Explorer 7 nos Windows XP e 2003, porém já existe outro código que funciona também no Windows Vista.
O problema explorável pelo WordPad localiza-se no Conversor de Textos e precisa de um pouco mais interação dos usuários. Em um sistema com o Word instalado – a maioria dos computadores – o arquivo teria que ter a extensão “.wri”, pois o Word “apodera-se” dos demais formatos (por padrão). De acordo com a Microsoft, qualquer arquivo aberto com o WordPad pode ser usado em um ataque. Ainda segundo a empresa, a falha já está sendo usada em ataques “limitados”.
A terceira falha divulgada esta semana, no SQL Server, foi descoberta pela empresa de segurança SEC Consult. A companhia resolveu divulgar as informações porque, segundo ela, a Microsoft tem conhecimento do problema desde abril e prometeu uma correção para setembro, mas nada foi lançado.
Os computadores residenciais e estações de trabalho geralmente não têm o SQL Server instalado, por tratar-se de um servidor de banco de dados usado principalmente por empresas.
Uma conta de Twitter que dizia ser de posse de Vint Cerf (“@cerf”) foi suspensa por envio de spam. A conta operou com “tweets” aparentemente legítimos, o que fez muitos internautas pensarem que fosse uma conta verdadeira. Depois, o spammer abusou da credibilidade obtida pela conta para enviar links patrocinados pela conta, que chegaram em todos os usuários que decidiram ter “@cerf” na lista de “follow”.
Blogueiros de segurança chegaram a supor que o Twitter de Cerf teria sido invadido por criminosos, dado a repentina mudança no conteúdo do que era postado. Cerf disse ao site britânco The Register que não possui conta no Twitter e que o perfil era falso desde o início.
>>>> Chefe de segurança na Mozilla deixará o cargo
A responsável pela segurança dos projetos da Mozilla, Window Snyder, anunciou na quarta-feira (10) que deixará o cargo no fim deste ano. Ela ainda não revelou para onde está indo e qual seu novo cargo, mas há especulação de que se envolverá com uma nova empresa sem relação com segurança.
Antes de trabalhar na Mozilla, Snyder passou pela empresa de segurança @stake (em 2004 adquirida pela Symantec) e Microsoft, onde participou do desenvolvimento do Service Pack 2 do Windows XP. Após uma curta passagem pela empresa de consultoria Matasano, foi para a Mozilla em 2006, onde serviu como figura pública e representante das questões de segurança.
Esse foi o resumo de notícias da semana. Na segunda-feira (15), a coluna terá dicas para a realização de compras pela internet. Toda quarta-feira são publicadas respostas a dúvidas dos leitores sobre segurança; se você tem uma pergunta, deixe-a nos comentários. Bom fim de semana a todos.
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários.
Antes de falar do que rolou nesta semana, um anúncio a todos que pediram RSS da coluna: foi iniciado um Twitter, disponível em http://twitter.com/g1seguranca. Lá serão divulgados links para cada coluna publicada, outras notícias de segurança do G1 e comentários (breves, porque no Twitter não pode ser de outro jeito). O Twitter pode ser acompanhado também por RSS, então é um bom substituto.
>>>> Microsoft corrige 28 falhas no Windows, Excel, Word, Internet Explorer e outros
Foi nesta semana a segunda terça-feira útil do mês de dezembro, data marcada para o lançamento dos patches da Microsoft. A empresa publicou um total de 8 boletins de segurança, distribuindo correções para 28 vulnerabilidades, 23 delas consideradas “críticas”.
As correções mais importantes estão no primeiro boletim da série, o MS08-070. Ele elimina seis vulnerabilidades graves em controles ActiveX. Usando algumas dessas brechas, um hacker pode criar uma página de internet que, simplesmente ao ser acessada, instala vírus ou ladrões de senha no computador do internauta, sem que este perceba o ocorrido.
Há também um novo pacote cumulativo de correções para o Internet Explorer. Ele recebe esse nome porque inclui todas as modificações de segurança feitas ao IE até agora e, por isso, é geralmente o maior patch disponibilizado. Este mês, quatro novas vulnerabilidades do navegador foram consertadas.
O maior pacote de correções é destinado ao Microsoft Word e está no boletim MS08-072. As oito brechas permitem que arquivos do Word carreguem consigo códigos maliciosos. Um invasor poderia usar o componente afetado para fazer um ataque por meio do Outlook 2007, já que este utiliza o Word para abrir documentos dentro de e-mails. Nesse caso, a simples visualização (leitura) de um e-mail é suficiente para infectar o usuário.
O Excel, o GDI (Graphics Device Interface), o SharePoint, o Windows Explorer e os Windows Media Components também receberam atualizações de segurança. Todos os usuários do Windows terão que aplicar alguns dos patches lançados pela Microsoft este mês.
>>>> Divulgadas brechas “dia zero” no Internet Explorer, no WordPad e no SQL Server
Na mesma semana em que um pacotão de atualizações de segurança foi lançado pela Microsoft, três novas vulnerabilidades foram divulgadas. Duas delas podem afetar usuários domésticos.
Não existe correção para essas falhas, por isso são consideradas “dia zero”. Uma falha “dia um” é aquela cujas informações técnicas foram disponibilizadas no mesmo dia da publicação do patch. Uma falha “dia dois” no segundo dia e assim por diante. Quando as informações são publicadas antes mesmo de haver uma correção, diz-se “dia zero”.
Não basta ficar longe de “sites maliciosos”, porque qualquer site legítimo pode ser usado, desde que seja encontrada uma falha de segurança ou um departamento comercial sem o conhecimento necessário para bloquear um anúncio malicioso.
Até o momento, o código usado funciona apenas no Internet Explorer 7 nos Windows XP e 2003, porém já existe outro código que funciona também no Windows Vista.
O problema explorável pelo WordPad localiza-se no Conversor de Textos e precisa de um pouco mais interação dos usuários. Em um sistema com o Word instalado – a maioria dos computadores – o arquivo teria que ter a extensão “.wri”, pois o Word “apodera-se” dos demais formatos (por padrão). De acordo com a Microsoft, qualquer arquivo aberto com o WordPad pode ser usado em um ataque. Ainda segundo a empresa, a falha já está sendo usada em ataques “limitados”.
A terceira falha divulgada esta semana, no SQL Server, foi descoberta pela empresa de segurança SEC Consult. A companhia resolveu divulgar as informações porque, segundo ela, a Microsoft tem conhecimento do problema desde abril e prometeu uma correção para setembro, mas nada foi lançado.
Os computadores residenciais e estações de trabalho geralmente não têm o SQL Server instalado, por tratar-se de um servidor de banco de dados usado principalmente por empresas.
Uma conta de Twitter que dizia ser de posse de Vint Cerf (“@cerf”) foi suspensa por envio de spam. A conta operou com “tweets” aparentemente legítimos, o que fez muitos internautas pensarem que fosse uma conta verdadeira. Depois, o spammer abusou da credibilidade obtida pela conta para enviar links patrocinados pela conta, que chegaram em todos os usuários que decidiram ter “@cerf” na lista de “follow”.
Blogueiros de segurança chegaram a supor que o Twitter de Cerf teria sido invadido por criminosos, dado a repentina mudança no conteúdo do que era postado. Cerf disse ao site britânco The Register que não possui conta no Twitter e que o perfil era falso desde o início.
>>>> Chefe de segurança na Mozilla deixará o cargo
A responsável pela segurança dos projetos da Mozilla, Window Snyder, anunciou na quarta-feira (10) que deixará o cargo no fim deste ano. Ela ainda não revelou para onde está indo e qual seu novo cargo, mas há especulação de que se envolverá com uma nova empresa sem relação com segurança.
Antes de trabalhar na Mozilla, Snyder passou pela empresa de segurança @stake (em 2004 adquirida pela Symantec) e Microsoft, onde participou do desenvolvimento do Service Pack 2 do Windows XP. Após uma curta passagem pela empresa de consultoria Matasano, foi para a Mozilla em 2006, onde serviu como figura pública e representante das questões de segurança.
Esse foi o resumo de notícias da semana. Na segunda-feira (15), a coluna terá dicas para a realização de compras pela internet. Toda quarta-feira são publicadas respostas a dúvidas dos leitores sobre segurança; se você tem uma pergunta, deixe-a nos comentários. Bom fim de semana a todos.
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários.
Assine nosso Feed RSSAs últimas | Informática
19/09/2018 | Grupo Renault Nissan terá sistema operacional Android em seus carros
18/09/2018 | A corrida para a criação do computador mais poderoso da história
11/06/2018 | Google tira ovos de emoji de salada para agradar veganos
As mais lidas de Informática
Relação não gerada ainda
As mais lidas no Geral
Relação não gerada ainda