Microsoft prepara pacote de correção para falha crítica do IE

A Microsoft anunciou nessa quinta-feira (6) que irá entregar cinco correções de segurança para seus clientes na próxima semana, durante a Patch Tuesday. Duas delas foram classificadas como "crítica", incluindo uma que irá abordar uma vulnerabilidade do Internet Explorer, que vem sendo explorada desde janeiro.

falha-internet-explorer-citis

Serão 4 atualizações para Windows XP, um último ciclo de correções para o sistema operacional.

Quatro das cinco atualizações irão afetar o Windows XP, o sistema operacional de quase 13 anos que a Microsoft planeja aposentar no dia 8 de abril. Depois disso, a gigante de Redmond terá apenas mais uma chance de corrigir falhas no OS antes de ele ter o suporte encerrado.
 
Uma das duas atualizações críticas corrige todas as versões do Internet Explorer – incluindo o IE6 do Windows XP e o IE11, que roda somente em Windows 7, 8 e 8.1. O "boletim 1", responsável por corrigir a vulnerabilidade, foi classificado como "crítico" – o nível mais alto do ranking de classificações da Microsoft.
 
Três das atualizações afetam o Windows XP, uma classificado como "crítica" e outra como "importante".
 
O "boletim 2", a atualização crítica, poderia ser usada por crackers para sequestrar um PC com qualquer Windows, incluindo o XP e exceto o Windows RT.
 
As duas atualizações restantes do Windows foram classificadas como "importante", uma delas poderia ser explorada com o intuito de obter direitos de acesso adicionais, enquanto a outra poderia ser explorada para burlar um recurso de segurança dentro do sistema operacional.
 
O quinto update, também "importante", irá corrigir o Silverlight 5.
 
Todas as atualizações de segurança serão liberadas na próxima terça-feira, 11 de março.
 
Segurança
 
Há duas semanas, a Microsoft confirmou pelo menos uma vulnerabilidade no IE9 e empresa de segurança FireEye identificou uma outra no IE10, após ataques contra atuais e ex-militares norte-americanos que visitaram o site dos Veteranos de Guerras Estrangeiras (VFW).
 
Outra empresa de segurança, a Websense, informou que havia encontrado um exploit que se aproveitava do mesmo bug do IE no site de uma associação aeroespacial francesa, a GIFAS (Groupement des Industries Francaises Aéronautiques et Spatiales ), cujos membros incluem funcionários espaciais e de defesa.
 
A Websense indicou evidências de que os exploits estavam em circulação desde 20 de janeiro de 2014.
 
Mais tarde, Aviv Raff, CEO da empresa de segurança Seculert, afirmou que os ataques identificados pela FireEye e pela Websense foram feitos de dois grupos de crackers.
 
Embora a Microsoft tenha caracterizado os ataques como sendo de alcance limitado, a Symantec na semana passada discordou dessa afirmação. A empresa de antivírus disse que os ataques contra o IE "expandiram para atingir usuários comuns da Internet" na época.
 
Fonte : ComputerWorld