Vídeo: Internet Explorer Bug 2014 (Zero Day Bug) Fix. (Novembro 2024)
A Microsoft lançou uma atualização para o Internet Explorer para fechar a vulnerabilidade de dia zero que já havia sido usada em vários ataques direcionados recentemente.
A atualização fora de banda da Microsoft aborda a falha crítica nas versões 6, 7 e 8 do Internet Explorer, informou a empresa em seu comunicado de segurança hoje. A empresa havia lançado anteriormente um Fix-It como uma solução alternativa para fechar temporariamente o problema. Os usuários que instalaram o Fix-It não precisam desinstalá-lo antes de aplicar o patch, disse a Microsoft.
"A maioria dos clientes tem atualizações automáticas ativadas e não precisará executar nenhuma ação porque as proteções serão baixadas e instaladas automaticamente", afirmou a Microsoft no comunicado. Os usuários que atualizam o IE manualmente são fortemente encorajados a aplicar a atualização o mais rápido possível.
É importante observar que a Microsoft lançou um patch e não uma atualização cumulativa, disse Wolfgang Kandek, CTO da Qualys. Os usuários precisam primeiro garantir que sua versão do Internet Explorer esteja atualizada (e tenha o MS12-077) instalado antes de aplicar o patch (MS13-008), disse Kandek.
Patch fora da banda
Esse patch ocorre uma semana após o lançamento mensal programado da Patch Tuesday da Microsoft. Muitos especialistas em segurança se perguntaram se isso significava que a empresa planejava esperar até fevereiro para corrigir o bug.
"Eu não ficaria surpreso ao ver outro boletim do IE em fevereiro, além do patch de hoje", disse Andrew Storms, diretor de operações de segurança da nCircle. As correções regulares do navegador são boas porque os atacantes estão cada vez mais atacando os navegadores da Web, disse Storms.
Pesquisadores da FireEye descobriram em dezembro que o site do Conselho de Relações Exteriores havia sido comprometido e estava infectando visitantes que usavam versões mais antigas do Internet Explorer, explorando essa vulnerabilidade. Depois que a falha do dia zero foi identificada, outros pesquisadores descobriram ataques semelhantes em outros locais, incluindo o fabricante de sistemas de microturbinas Capstone Turbine e dois sites chineses de direitos humanos. A Microsoft lançou uma correção temporária, mas os pesquisadores da Exodus Intelligence conseguiram contornar o Fix-It e acionar a falha de segurança.
Embora a empresa tenha trabalhado rapidamente para lançar esse patch, ainda há uma "alta probabilidade" de que muitos usuários não tenham tomado as medidas necessárias, e uma grande parte dos usuários do IE permanecerá desprotegida, Mark Elliott, vice-presidente executivo de produtos da Quarri Technologies, disse à SecurityWatch . Isso ressalta como as empresas geralmente estão "à mercê de como os usuários finais qualificados são administradores de segurança", disse Elliott.
Os usuários também são incentivados a atualizar para o Internet Explorer 9 ou 10. O problema afeta principalmente os usuários que ainda estão executando o Windows XP, que não pode executar as versões mais recentes do IE.
"Como esses patches abordam vulnerabilidades que estão sendo exploradas na natureza, é fundamental que os patches sejam implantados o mais rápido possível", disse Marc Security, diretor de tecnologia da BeyondTrust, Marc Maiffret.
Para mais informações sobre Fahmida, siga-a no Twitter @zdFYRashid.