Microsoft corrige falhas de segurança no Windows e Office

Das correções liberadas nesta terça-feira, 10/12, cinco foram identificadas como “críticas”. No total, elas solucionam 24 vulnerabilidades

A Microsoft liberou nesta terça-feira, 10/12, 11 patches (correções) de segurança para diversas versões do Windows e Office que endereçam, ao todo, 24 vulnerabilidades importantes dos softwares da empresa. Gerentes de TI terão trabalho, já que os sistemas operacionais afetados incluem o Windows XP, o Windows Vista, o Windows 7, o Windows 8 e o Windows RT.

A empresa colocou no seu Security Tech Center boletins com informações sobre os patches que fecham o ciclo das Patch Tuesday para 2013. No total foram 106 boletins de correções ao longo do ano, contra 83 correções do ano anterior

Das 11 correções, cinco são consideradas “críticas” porque consertam uma falha crítica que permite a exploração potencial de execução remota de código em máquinas infectadas. Ao todo, as correções endereçam 24 vulnerabilidade no Windows, Windows Server, Exchange Server, Microsoft SharePoint Server, Office Web Apps, Lync, ASP.NET SignalR e Visual Studio Team Foundation Server 2013.

No entanto, a empresa disse que não irá abordar uma vulnerabilidade do kernel que permite a um cracker escalar privilégios no Windows XP e Windows Server 2003. Em vez disso, a empresa planeja colocar essa correção em uma atualização futura.

A vulnerabilidade do GDI+ é conhecida há pelo menos um mês; em novembro, a Microsoft publicou pela primeira vez alguma informação sobre o problema, originalmente neste boletim de segurança.

“Se o anexo é aberto ou visualizado, ele tenta explorar a vulnerabilidade usando uma imagem gráfica malformada (TIFF) incorporada no documento”, diz a Microsoft. “Um invasor que explorar com êxito a brecha poderá obter os mesmos direitos do usuário conectado à máquina.”

A Microsoft deveria agir rapidamente para mitigar o problema, especialmente quando grupos no Oriente Médio e em outros lugares começaram a explorar a vulnerabilidade GDI+ para distribuir o trojan bancário Citadel, por meio do envio de e-mails com arquivos infectados.

Mas isso não aconteceu, deixando os usuários do Windows à mercê durante um mês. Os usuários que absolutamente não podem esperar já deveriam ter implantado este patch temporário para o problema que a Microsoft liberou há várias semanas. Se você ainda não o fez, faça isso agora!

No quesito servidor, os administradores de TI terão de corrigir o Windows Server 2003, o Windows Server 2008 e o Windows Server 2008 R2, além do Windows Server 2012 e do Windows Server 2012 R2 – bem como as versões do Internet Explorer 7 a 11.

Se as atualizações não forem implantadas, os cibercriminosos podem infectar PCs com malware, roubar informações, adquirir privilégios adicionais – que lhes permitem executar ataques mais elaborados, e também contornar recursos de segurança.

Fonte: Uol Notícias