Microsoft e Adobe corrigem vulnerabilidades; conheça os riscos

A Microsoft lançou cinco boletins de segurança nesta semana, corrigindo 15 vulnerabilidades diferentes no Windows, Excel, Office, SharePoint e Windows Server. Todos os bugs foram classificados como “importantes”, mas não “críticos”, já que não podem ser explorados sem alguma interação do usuário. A Adobe também apresentou informações deste tipo.

De todas as vulnerabilidades corrigidas pela Microsoft, uma que se deve priorizar a correção é um código de execução arbitrário no Excel, afirmou Wolfgang Kandek, CTO da Qualys, em uma postagem de blog. “Ela afeta todas as versões do Excel incluindo a versão mais recente de 2010. Para explorar, os invasores podem criar arquivos maliciosos, os quais, quando abertos em locais vulneráveis podem conseguir o controle do sistema.

Da mesma forma, ele recomenda a instalação da correção para um código de execução de vulnerabilidade no Microsoft Office, versões 2003, 2007 e 2010 – incluindo o Microsoft Word – o mais rápido possível, porque a falha pode permitir que um invasor use um arquivo malicioso para executar um código arbitrário.

Curiosamente, duas das outras vulnerabilidades já haviam sido publicamente mostradas, “mas nenhum das duas era muito preocupante”, afirmou Joshua Talbot, gerente de segurança de inteligência para a Symantec Security Response. “A primeira é a HTML Sanitization Vulnerability, que é simplesmente um problema de divulgação de informações. A outra é o Insecure Library Loading Vulnerability, que faz parte do problema DLL em curso, que a empresa vem trabalhando para corrigir por mais de um ano. Ainda veremos explorações tendo como alvo uma dessas vulnerabilidades”.
A correção deste mês da Microsoft foi leve, mas segue o desastre do DigiNotar, no qual o registro Dutch foi invadido, com o invasor ou invasores gerando certificados falsos para  problemas conhecidos da rede, incluindo o Microsoft Update e Gmail.
Na terça-feira (13/09), a Microsoft lançou outra atualização para  anular os certificados DigiNotar. De acordo com Kandek: “a atualização anula os certificados assinados por duas Certificate Authorities (CAs): Entrust e Cybertrust, que emitem certificados no nome da DiginNotar”.

Desde que a exploração do DigiNotar – que veio a publico no mês passado – inúmeros fabricantes de navegadores (incluindo Microsoft, Mozilla, Google , Opera e mais recentemente a Apple) lançaram atualizações para bloquear esses certificados. Após isso, outra empresas – incluindo o Facebook, Skype e Adobe – também bloquearam os certificados em seus produtos.

A Entrust solicitou que a Microsoft colocasse na lista negra dois certificados cruzados que assinou juntamente com a DigiNotar em 2007, e que anulou recentemente.

Adobe

A Adobe também lançou correções para problemas críticos de segurança – o que significa que eles podem ser explorados remotamente, sem que o usuário tenha conhecimento – no Reader e no Acrobat. Se explorada, a vulnerabilidade pode permitir ao invasor que entre e ganhe controle da máquina do usuário.
A falha afeta múltiplas versões do Adobe Reader e Acrobat: Reader and Acrobat X 10.1 e anteriores (Windows e Mac), versões 9.4.5 e anteriores (Windows, Mac e Unix), bem como as versões  8.3  e anteriores (Windows e Mac). Para corrigir as vulnerabilidades, a Adobe lançou as atualizações Reader and Acrobat, numeradas: 8.3.1, 9.4.5 e 10.1.1 para Windows e Mac.
Apesar da falha também estar presente nas versões do Reader 9.x no Unix, os usuários terão que esperar dois meses pela correção. A Adobe disse que planeja lançar a versão Reader 9.4.6 para Unix em 7 de novembro.
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini