Vídeo: Why Refresh Your PCs? Reason #1: Microsoft Windows* XP and Office 2003 End of Service | Intel (Novembro 2024)
A Microsoft lançou quatro atualizações de segurança, corrigindo 11 vulnerabilidades no Windows, Microsoft Office, Internet Explorer e Microsoft Publisher como parte de sua versão de Patch Tuesday de abril. Os boletins de segurança para Windows XP e Office 2003 são os últimos patches divulgados publicamente para esses dois produtos, já que a Microsoft encerrou o suporte hoje.
Sete das vulnerabilidades afetam o Windows XP e quatro afetam o Office 2003. "Esta é uma importante terça-feira de atualização para usuários que confiam em plataformas e aplicativos desatualizados que se auto-sustentam este mês", disse Russ Ernst, diretor de gerenciamento de produtos da Lumension.
O boletim principal aborda três vulnerabilidades no Microsoft Word (MS14-017), incluindo a vulnerabilidade de dia zero descoberta recentemente no analisador RTF (Rich Text Format). Se um invasor conseguir convencer o usuário a abrir um documento RTF malicioso em uma versão sem patch do Microsoft Word, o invasor poderá executar o código remotamente no sistema. As outras duas vulnerabilidades são falhas no utilitário de conversão de formato de arquivo do Word 2007 e 2010 e um erro de estouro de pilha no Word 2003.
A Microsoft disse que ataques "limitados e direcionados" usando a vulnerabilidade de dia zero foram observados na natureza. Um Fix-It em 24 de março ofereceu uma solução temporária para desativar o Word de abrir automaticamente documentos RTF. Os usuários que instalaram originalmente o Fix-it e abrem regularmente arquivos RTF devem desativá-lo assim que a atualização for instalada, para que os arquivos RTF sejam abertos normalmente, recomenda Dustin Childs, gerente de grupo do Microsoft Trustworthy Computing.
O malware que desencadeia a falha pode ser encontrado no VirusTotal, "o que significa que estamos muito perto de um uso muito mais amplo pelos invasores", alertou Wolfgang Kandek, CTO da Qualys.
A correção do IE
O segundo boletim aborda seis vulnerabilidades no Internet Explorer (MS14-018) e afeta todas as versões do IE6 ao IE11. Os invasores podem desencadear as falhas, enganando os usuários na exibição de sites bloqueados pelo Internet Explorer. Embora a vulnerabilidade ainda não tenha sido explorada na natureza, a Microsoft atribuiu uma "classificação de índice de exploração" de 1, o que significa que ataques podem ser esperados nos próximos 30 dias, alertou Kandek.
Os invasores que visarem essas falhas no Word e no IE poderão executar código remotamente, mas apenas no nível de permissão do usuário. Isso significa que os usuários que não estiverem executando como administradores em suas máquinas Windows "serão muito menos afetados" do que teriam sido, observou Marc Maiffret, CTO da BeyondTrust. Se o patch não puder ser implantado imediatamente, os controles ActiveX devem ser bloqueados e o Active Scripting deve estar bloqueado ou desativado, ele recomendou.
A Microsoft também lançou correções para o Internet Explorer 10 e 11 para incorporar as correções no Flash Player lançado pela Adobe hoje cedo.
Atualize seus sistemas
As atualizações restantes cobrem falhas de execução remota de código no Microsoft Publisher (MS14-020) e no tratamento de arquivos do Windows (MS14-019). Um invasor pode explorar a vulnerabilidade do Windows, enganando os usuários para que executem arquivos.bat ou.cmd de locais não confiáveis sem aviso. O Publisher possui uma pequena base instalada e não há explorações conhecidas, tornando a vulnerabilidade menos crítica.
Os usuários que ainda insistem em executar o XP precisam garantir a aplicação imediata dos dois primeiros patches e garantir que todos os aplicativos de software de terceiros estejam atualizados. A Adobe disse que não planeja continuar oferecendo suporte ao Flash no XP, portanto, instale a atualização de hoje.
A Microsoft introduziu três novos sistemas operacionais desde o XP, e mesmo que você não goste do Vista, o Windows 7 e 8 farão um trabalho muito melhor mantendo os usuários seguros do que o XP. É realmente hora de mudar o sistema operacional. "Este ano, após 13 anos de execução, o jogo acaba com o Windows XP", disse Kandek.