As versões 6, 7, 8, 9 e 10 do navegador são os alvos de uma correção para uma vulnerabilidade, que permite a execução remota de código no browser. Isso afeta todos os sistemas operacionais, exceto o Windows XP. "Nós sempre recomendamos a atualização para a versão mais recente de qualquer software", diz Paul Henry, analista forense e de segurança da Lumension. "Isso é, normalmente, o mais seguro a ser feito. Se o seu sistema é compatível com o IE 10 e você ainda não está usando, atualize agora."
As falhas abordadas podem incluir uma encontrada no IE 8 que roda em máquinas com Windows XP, e foi corrigida com um patch "hot-fix" emitido separadamente para lidar com um ataque 0-day, ativamente usado contra agências governamentais dos EUA, disse Henry.
As mesmas vulnerabilidades são classificados apenas como "moderado" para máquinas que executam servidores ao invés de sistemas operacionais de desktop.
"O patch inclui correções para outras vulnerabilidades menos críticas, que permitem execução remota de código e afetam o Office e o Lync", disse Lamar Bailey, diretor de pesquisa e desenvolvimento de segurança da Tripwire. "Essas brechas importantes atingem o DoS, elevação de privilégio e divulgação de informações."
Pwn2Own
O segundo boletim lida com outra vulnerabilidade do IE (acredita-se que essa seja uma das divulgadas em março durante o concurso anual Pwn2Own). A empresa deixou muitos surpresos na última Patch Tuesday, ao deixar de lado tal brecha. "Normalmente a Microsoft lança as correções para os bugs encontrados na Pwn2Own em abril, mas este ano outros patches tiveram prioridade", disse Andrew Storms, diretor de operações de segurança da Tripwire.
O restante dos 10 boletins desse mês foram classificados como "importante" - um abaixo de "crítico". E, como os dois mais críticos, três outros patches abordam problemas que podem levar a ataques de execução remota de código.
As falhas afetam principalmente o Office. "O mais amplamente instalado é provavelmente o boletim 7, que é para Word 2003 e Word Viewer", diz Wolfgang Kandek, CTO da Qualys. "O boletim 6 cobre o Microsoft Publisher, incluído no Office 2003, 2007 e 2010; e o Boletim 5 é para os módulos de mensagens instantâneas da Microsoft - Communicator 2007 e o Lync 2010."
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário