Microsoft divulga patches para junho

A vulnerabilidade que mais pode afetar os negócios, segundo apurou a INFORMATIONWEEK-EUA, está num defeito dentro de um software da parceira Business Objects (BO), distribuído junto com alguns produtos da Microsoft, incluindo o Visual Studio .Net 2003, o Outlook 2003 com Business Contact Manager (incluído no Small Business and Professional Editions do Office 2003) e no Microsoft Business Solutions CRM 1.2.

O Visual Studio .Net 2003 e o Outlook 2003 com Business Contact Manager incluem o Crystal Reports da BO, enquanto o CRM 1.2 tem o Crystal Enterprise. Tanto o Crystal Reports quanto o Crystal Enterprise contêm uma vulnerabilidade que, se explorada, pode permitir ataques denial-of-service (DoS), ou ainda que se encontre e apague arquivos por meio da interface Web desses programas, disse a Microsoft.

A companhia disse ainda que o criminoso não precisaria introduzir um código para obter vantagem dessa vulnerabilidade. Em vez disso, qualquer usuário, anônimo ou autenticado, que acessar o Crystal no sistema afetado, pode explorá-la, segundo informa a Microsoft em seu boletim.

A escala de vulnerabilidade depende dos recursos de segurança utilizados pelo Crystal Web Form Viewer. Além disso, as máquinas só são vulneráveis se tiverem o Internet Information Services (IIS) instalado.

É possível fazer o download dos patches de segurança utilizando links a partir do boletim de segurança.

Já a segunda vulnerabilidade descoberta pela Microsoft afeta as versões DirectX, desde a 7.0 até a mais atual, 9.0b. Essas versões são parte do Windows 98, 98 Second Edition, ME, 2000, XP e do Server 2003, e podem ser exploradas por meio de ataques DoS em sistemas de jogos.