Microsoft corrige 15 falhas, incluindo bug crítico malicioso

A Microsoft liberou hoje (10/11) um pacote de correções para 15 vulnerabilidades dos sistemas Windows e Windows Server e dos aplicativos Excel e Word, incluindo um que provavelmente deverá ser explorado rapidamente por hackers. Nenhum deles afeta o novo sistema operacional Windows 7.

As 15 falhas corrigidas pelas seis atualizações de segurança publicadas hoje correspondem a menos da metade do pacote recorde do mês passado, em que a Microsoft consertou 34 bugs em 13 boletins separados.

Das 15 falhas de hoje, três foram classificadas como “críticas” pela Microsoft. As 12 restantes foram tidas como “importantes”, que é o nível imediatamente anterior no sistema de quatro níveis de classificação adotado pela companhia.

Bug prioritário

Especialistas concordam que os usuários deveriam priorizar em primeiro lugar o MS09-065. Esta atualização, que é uma das críticas, afeta todas as versões do Windows que ainda têm direito a suporte, com exceção do Windows 7 e do Windows Server 2008 R2.

“A vulnerabilidade do núcleo do Windows é de longe a mais importante”, enfatiza Andrew Storms, diretor de Operações de Segurança da nCircle Network Security.

“Esta brecha pode usar o Internet Explorer como vetor de ataque, e este é um dos casos em que o usuário não será notificado nem questionado. Este é absolutamente um cenário de ataque drive-by”.

Richie Lai, que é diretor de Pesquisa em Vulnerabilidade na empresa de segurança Qualys, concorda. “Qualquer um que rode Internet Explorer (IE) está em risco aqui, mesmo considerando que a falha não está no navegador e sim no driver de modo kernel do Win32k”.

Três em um

Storms e Lai referem-se a um bug marcado como crítico no MS09-065, que na verdade menciona um trio de vulnerabilidades.

De acordo com a Microsoft, o núcleo do Windows interpreta de modo inadequado fontes do tipo Embeded OpenType (EOT), que são uma forma compacta de fontes feita para páginas web. As fontes EOT também podem ser usadas no Word e no PowerPoint.

Dessa forma, os hackers também poderiam lançar ataques anexando documentos maliciosos de Word e PowerPoint a mensagens de e-mail, que seriam enganosamente abertas pelos usuários.

Como alternativa à aplicação da correção, os usuários poderiam bloquear facilmente os ataques mais comuns via IE simplesmente desligando o suporte a fontes embutidas. “É um ajuste de baixo impacto”, explica Lai. “O pior que pode acontecer é que alguns sites poderão parecer feios.”

Mas quem seguisse seu conselho ainda deixaria o PC aberto para ataques via documentos maliciosos de Word e PowerPoint, uma questão que a Microsoft cobriu com o boletim de segurança.

Livre de erro

Como o Windows 7 e o Windows Server 2008 R2 não são alvo da atualização MS09-065, Storms e Lai entendem que a Microsoft identificou o bug antes que ele pudesse permanecer embutido no código final, ou na versão RTM (Release To Manufacturing), do sistema operacional, e só agora tomou providências para tapar as brechas nos sistemas Windows 2000, XP e Vista e no Server 2003 e 2008.

“É provavel que o Windows 7 Release Candidate(RC) seja vulnerável”, disse Storms, lembrando que é política da Microsoft não lançar atualizações de segurança para versões prévias de um sistema operacional depois que a versão final é liberada.

“É por isso que não se vê a Microsoft consertando o Windows 7 RC ou Beta”, disse Storms. “Qualquer um que ainda rode a RC deveria tomar jeito e migrar para a RTM”.

Mas enquanto Storms crê que a Microsoft sabia que a falha da fonte EOT era questão de segurança e esperou até agora para consertar Windows mais velhos, Lai defende a tese de que até recentemente a Microsoft não tinha ideia que o problema atingia também os Windows anteriores ao 7.

“Eu acho que eles consertaram esse bug como parte da sanitização de código durante o ciclo de desenvolvimento (do Windows 7). Só recentemente isso tornou-se público, e então eles consertaram os outros Windows.”

Reconhecimento público

A Microsoft reconhece que a informação sobre a vulnerabilidade da fonte EOT se tornou pública antes do lançamento da correção de hoje.

“Nosso relatório inicial foi fornecido sob divulgação restrita, mas essa vulnerabilidade foi divulgada abertamente mais tarde por uma entidade independente”, afirma o aviso que acompanhou o boletim.

Storms acha que os hackers vão explorar a vulnerabilidade da fonte EOT rapidamente.

“É algo que merece ser acompanhado nas semanas que virão, não apenas porque é novidade, mas também porque a falha pode ser explorada por meio do IE, que é um caminho fácil, bem como através de documentos Word e PowerPoint”, disse.

A Microsoft também lançou atualizações críticas para o Vista e o Server 2008, e para o Windows 2000 Server.

Nesse último, o problema é um bug na implementação do License Logging Server, uma ferramenta projetada originalmente para ajudar no gerenciamento de licenças de acesso cliente-servidor (CAL).

Storms recomenda que os usuários desses sistemas apliquem com urgência a correção, mesmo se suas máquinas forem supostamente bem protegidas.

“O Windows 2000 Server tem o login do servidor habilitado como padrão, mas sistemas desse tipo normalmente estão atrás de múltiplos firewalls, e as pessoas que rodam Windows 2000 sabem que se trata de uma versão antiga e vão agir de acordo.”

Windows e Mac

Excel e Word também receberam atualizações hoje. Oito vulnerabilidades foram consertadas no Excel pelo MS09-067 e uma no Word pelo MS09-068. Ambas as atualizações também afetam as edições Office 2004 e Office 2008, para Mac.

“Esses são o tipo de vulnerabilidade de formato de arquivo que nós já vimos muitas vezes no passado”, disse Storms, lembrando em seguida que os bugs comprometem os formatos binários mais antigos e não os novos formatos baseados em XML que estrearam no Office 2007 para Windows e no Office 2008 para Mac.

As atualizações de segurança deste mês podem ser baixadas e instaladas via Microsoft Update e Windows Update, bem como por meio dos serviços Windows Server Update.