Vídeo: How to mod Fallout New Vegas #5 | Bug Fixes (Outubro 2024)
A Microsoft lançou sete boletins corrigindo 34 bugs únicos no.NET Framework, no kernel do Windows e no Internet Explorer como parte do Patch Tuesday de julho. Há também uma nova política de 180 dias para o mercado da Microsoft referente a aplicativos com bugs de segurança.
Dos sete boletins, seis são classificados como críticos e um foi classificado como importante, disse a Microsoft em seu comunicado do Patch Tuesday divulgado ontem à tarde. A Microsoft recomendou a instalação do boletim do IE (MS13-055) primeiro, seguido por um dos boletins dos drivers do modo kernel do Windows (MS13-053). Os demais boletins TrueType e Windows estavam no próximo grupo de prioridades, seguido pelo único patch "importante".
"Tudo no mundo central da Microsoft é afetado por um ou mais deles; todos os sistemas operacionais suportados, todas as versões do MS Office, Lync, Silverlight, Visual Studio e.NET", disse Ross Barrett, gerente sênior de engenharia de segurança da Rapid7.
O Windows 8.1 Preview e o IE 11 não são afetados por nenhum desses boletins.
Feio, Feio Fontes
Três boletins separados (MS13-052, MS13-053 e MS13-054) corrigiram a vulnerabilidade da fonte TrueType no.NET. Esse erro de fonte TrueType é semelhante ao explorado pelo Stuxnet e Duqu, exceto pelo fato de estar presente no.NET e não no kernel do Windows, disse Marc Maiffret, CTO da BeyondTrust.
O MS13-054 corrigiu a vulnerabilidade TrueType no GDI +, um componente no kernel do Windows. A falha afeta vários produtos, incluindo todas as versões suportadas do Windows, Office 2003/2007/2010, Visual Studio.NET 2003 e Lync 2010/2013. Maiffret previu que essa falha será explorada por atacantes em um futuro próximo, porque muitos produtos usam GDI +.
"O MS13-053 é o pior do grupo", disse Tommy Chin, engenheiro de suporte técnico da CORE Security, acrescentando "É a execução remota de código e a escalada de privilégios, tudo em um". Os invasores podem projetar socialmente as vítimas em potencial para exibir um arquivo criado com conteúdo TrueType malicioso. Se for bem-sucedido, o invasor obtém acesso de administrador ao sistema afetado, disse Chin.
A vulnerabilidade de dia zero no kernel do Windows descoberta pelo pesquisador de segurança Tavis Ormandy também é corrigida neste boletim. Considerando que explorações para esta vulnerabilidade já estão incluídas em estruturas públicas como o Metasploit, isso deve ser de alta prioridade
Internet Explorer
A atualização maciça do Internet Explorer corrigiu 17 falhas, das quais 16 são vulnerabilidades de corrupção de memória e uma é um bug de script entre sites. Falhas de corrupção de memória podem ser usadas em ataques drive-by em que os invasores configuram páginas da web maliciosas e usam táticas de engenharia social para atrair usuários para as páginas maliciosas. Houve muitos erros de corrupção de memória no Internet Explorer nas últimas terças-feiras, observou Maiffret, acrescentando: "É imperativo que esse patch seja lançado o mais rápido possível".
Alteração de política do Microsoft Marketplace
A Microsoft também anunciou uma mudança de política relacionada ao mercado da Microsoft. Sob a nova política, qualquer aplicativo em qualquer uma das quatro lojas de aplicativos executadas pela Microsoft (Windows Store, Windows Phone Store, Office Store e Azure Marketplace) terá 180 dias para resolver problemas de segurança. A linha do tempo se aplica a vulnerabilidades classificadas como críticas ou importantes e que não estão sob ataque.
Se não for corrigido dentro desse prazo, o aplicativo será removido da loja, informou a Microsoft. A política se aplica a aplicativos de desenvolvedores de terceiros e da Microsoft.
"A Microsoft está dando um grande passo para minimizar aplicativos vulneráveis em suas várias lojas de aplicativos", disse Craig Young, pesquisador de segurança da Tripwire.
No entanto, vale a pena notar que 180 dias são um longo tempo, tornando altamente improvável que a Microsoft acabe puxando um aplicativo. É improvável que um desenvolvedor gaste mais de seis meses corrigindo uma vulnerabilidade crítica e, se a atualização demorar mais que o esperado, a Microsoft está disposta a fazer exceções.
Considerando isso, a nova política parece uma maneira de a Microsoft parecer dura sem afetar adversamente os desenvolvedores.
Mais adiante
Este será um mês movimentado para os administradores. A Adobe lançou suas próprias atualizações e a Oracle lançará sua atualização trimestral de todos os seus softwares, exceto Java, na próxima semana.
