|
|
No Patch Tuesday desse mês a Microsoft anuncia somente duas atualizações de segurança nesta terça-feira (13/11), uma delas corrige uma falha crítica de segurança explorada por criminosos.
Para os especialistas as equipes de TI devem instalar as duas atualizações rapidamente. A MS07-061 é considerada crítica pois repara uma falha de segurança que é utilizada em ataques baseados na web, afirma Amol Sarwate, diretor do laboratório de pesquisa e vulnerabilidade Qualys. “Essa foi uma falha ‘zero day’ que está sendo utilizada por hackers”.
A falha atinge a forma como o Windows passa informação entre as aplicações, utilizando uma tecnologia chamada Uniform Resource Identifier (URI). Esse protocolo permite que usuários lancem aplicações - como e-mail e mensageiros instantâneos - clicando em um link.
Pelo fato de o sistema operacional não realizar todas as checagens de segurança, os hackers encontraram meios de enviar comandos não autorizados nesses links, explorando a falha para instalar softwares não autorizados no PC da vítima.
A atualização de segurança é considerada crítica para o Windows XP e Windows Server 2003, mas não afeta o Windows 2000 ou o Vista, segundo a Microsoft.
A outra correção de segurança (MS07-062), considerada importante, é relacionada aos servidores Domain Name System (DNS), que são utilizados para trocar informações sobre a localização dos computadores na internet.
Essa falha pode ser explorada para redirecionar as vítimas a sites maliciosos, na técnica conhecida como “man in the middle”.
A Microsoft não incluiu uma atualização para a vulnerabilidade no software antipirataria Macrovision, que é vendido com o Windows. A falha atinge o driver secdrv.sys, presente no Windows XP, Server 2003 e Vista, mas o Vista não é vulnerável ao problema segundo a Microsoft.
A Macrovision já publicou uma atualização para o problema.
Fonte IDGNOW
Voltar |