Vídeo: Atualizações do Windows 10 de novembro de 2020 - Confira as novidades e correções de segurança! (Novembro 2024)
A Microsoft anunciou oito boletins para o lançamento de Patch Tuesday de novembro, abordando 19 vulnerabilidades exclusivas no software da Microsoft, incluindo Internet Explorer, Hyper-V, GDI (Graphics Device Interface), Office e outros. A vulnerabilidade de dia zero no Internet Explorer divulgada pelo FireEye no fim de semana também foi corrigida.
Dos avisos, os três patches mais críticos são o patch Interent Explorer (MS13-088), GDI (MS13-089) e a falha de dia zero no controle ActiveX que afetou várias versões do Internet Explorer (MS13-090), segurança especialistas disseram.
"O boletim MS13-090 aborda o problema conhecido publicamente no ActiveX Control, atualmente sob ataques direcionados. Os clientes com atualizações automáticas ativadas estão protegidos contra essa vulnerabilidade e não precisam tomar nenhuma ação", disse Dustin Childs, gerente de grupo da Microsoft Trustworthy Computing.
Status de zero dias
A equipe de segurança da Microsoft passou alguns dias ocupados. Na semana passada, a empresa de segurança FireEye notificou a Microsoft sobre sérias vulnerabilidades no Internet Explorer, mas parece que a equipe já sabia sobre elas, pois o patch de controle ActiveX (MS13-090) corrige a falha do InformationCardSignInHelper. Os atacantes já atacaram o bug em um ataque no estilo watering hole, e o código de exploração apareceu no site de compartilhamento de texto Pastebin esta manhã, tornando este um problema de alta prioridade.
"É extremamente importante lançar esse patch o mais rápido possível", disse Marc Maiffret, CTO da BeyondTrust.
A Microsoft também divulgou uma vulnerabilidade de dia zero na maneira como algumas versões do Microsoft Windows e versões anteriores do Microsoft Office lidavam com o formato de gráfico TIFF. Não há nenhum patch disponível para solucionar essa falha nesta versão do Patch Tuesday, portanto, os usuários que ainda não instalaram a solução temporária do FixIt devem considerar fazê-lo o mais rápido possível.
"Os sistemas em risco e de alto valor já devem ter atenuado", disse Ross Barrett, gerente sênior de engenharia de segurança da Rapid7.
Patches de alta prioridade
Outro patch do IE (MS13-088) corrigiu dois erros de divulgação de informações e oito problemas de corrupção de memória em várias versões do navegador da Web. Duas das vulnerabilidades afetam todas as versões do IE, das versões 6 a 11, a versão mais recente. Embora os ataques que exploram essas vulnerabilidades ainda não tenham sido relatados, o fato de tantas versões do Windows e do Internet Explorer serem afetadas significa que esse patch deve ser implementado o mais rápido possível.
Os invasores podem explorar essas falhas criando uma página da Web maliciosa e convencendo os usuários a visualizar a página para desencadear um ataque de download por unidade, disse Maiffret.
O terceiro boletim de maior prioridade (MS13-089) corrige um bug do GDI, que afeta todas as versões suportadas do Windows, do XP ao Windows 8.1. Como os invasores precisam criar um arquivo mal-intencionado e convencer os usuários a abri-lo no WordPad para explorar essa vulnerabilidade, este não é um cenário simples de navegação e propriedade, alertou Maiffret. No entanto, "ainda é potente, porque afeta todas as versões do Windows suportado", disse ele.
O invasor receberá o mesmo nível de privilégio que o aplicativo em execução que estava usando a interface GDI.
Patches simples
Vários especialistas classificaram o Patch Tuesday deste mês como "direto" porque as correções se concentraram no Windows, no Internet Explorer e em alguns componentes do Office. "Não há nada de esotérico ou difícil de corrigir", como plugins do SharePoint ou o.NET framework, disse Barrett. Os patches restantes abordavam vulnerabilidades em várias versões do Microsoft Office (MS13-091), uma vulnerabilidade de divulgação de informações em versões mais recentes do Office (MS13-094), uma elevação de falha de privilégio no Hyper-V (MS13-092) no Windows 8 e Server 2012 R2, um bug de divulgação de informações no Windows (MS13-093) e um problema de negação de serviço (MS13-095) no sistema operacional.
"No geral, embora seja apenas um Patch de tamanho médio na terça-feira, preste atenção especial aos dois dias 0 e à atualização do Internet Explorer. Os navegadores continuam sendo o alvo favorito dos invasores e o Internet Explorer, com sua participação de mercado líder, é um deles. dos alvos mais visíveis e prováveis ", disse Wolfgang Kandek, CTO da Qualys.