Deu pau na correção: Microsoft tira do ar update para Windows

Atualização MS10-025 tinha como objetivo combater uma vulnerabilidade crítica da versão 2000 Server.

A Microsoft tirou do ar recentemente uma de suas 11 atualizações de segurança  disponibilizadas no começo de abril, por conta de “problemas de qualidade”.

A empresa identificou que o patch simplesmente não fazia o prometido. “Retiramos a atualização porque ele não resolve o problema de forma efetiva”, declarou o gerente para a área de segurança da Microsoft, Jerry Bryant, na semana passada.
Por conta disso, a empresa parou de distribuir o update em seus vários mecanismos de atualização, incluindo Windows Update e Service Update Services (voltado para o usuários corporativos). Segundo Bryant, a empresa pensa em relançar o arquivo esta semana.

O arquivo MS10-025 corrigiria uma vulnerabilidade crítica do Windows 2000 Server relacionada ao gerenciamento de pacotes de rede, durante o uso com o Windows Media Services. Ele foi lançado no dia 13 de abril e é considerado crítico.

Quem instalou a correção com defeito não precisa removê-la, mas seus sistema continua vulnerável. A empresa recomenda que seja utilizado um firewall para combater o problema e que "sejam retomadas as medidas de defesa que eram indicadas para contar a brecha antes do anúncio do patch".

Segundo o  diretor de segurança da nCircle Network Security, Andrew Storms, esta é a primeira vez que a companhia tira do ar uma correção sem ter imediatamente disponível uma outra que resolva a questão.

Na semana passada, a McAfee admitiu ter liberado uma atualização para seu antivírus com defeito. O arquivo “enlouquecia” os PCs com Windows XP e atingiu milhares de máquinas.

Fonte: IDG Now!

Microsoft publica correção de emergência para IE na terça (30/3)

Além da vulnerabilidade de dia zero, bug da tecla F1 do navegador também pode ser consertado no patch inesperado.

A Microsoft informou nesta segunda-feira (29/3) que irá publicar uma atualização de emergência para o Internet Explorer com o objetivo de corrigir uma vulnerabilidade de dia zero que tem sido usada para conduzir ataque nas últimas semanas.

O Patch Tuesday desta terça-feira (30/3) é a segunda nos últimos três meses que a empresa faz e que foge ao seu calendário normal de correções, que acontece na segunda terça-feira de cada mês. Em janeiro, a Microsoft publicou uma correção no IE para corrigir oito vulnerabilidades, incluindo uma que vinha sendo usada para atacar a rede de empresas, incluindo o Google e a Adobe.

“Este boletim está sendo liberado para endereçar ataques contra clientes das versões 6 e 7 do Internet Explorer”, informou a empresa no blog do Technet.

E, como em janeiro, a atualização de amanhã irá corrigir apenas a vulnerabilidade de diz zero. Na realidade, ela irá tapar alguns buracos cruciais existentes em todas as versões do navegador, incluindo a mais recente, o IE8. “Este boletim não programado é uma atualização cumulativa de segurança para o Internet Explorer e também irá corrigir vulnerabilidades consideradas críticas em todas as versões do navegador que não estão relacionadas a este ataque”, informou a empresa.

A Microsoft alertou os usuários sobre a vulnerabilidade do IE6 e IE 7 em 9/3, informando, na época, que o bug não afetava nem a versão mais antiga (IE5) nem a mais recente do navegador (IE8). A empresa informou que os ataques eram direcionados, termo usado para designar ações em pequena escala.

Em apenas dois dias, crackers utilizaram a falhar para conduzir ataques a partir de sites maliciosos e um pesquisador israelense publicou o código de exploração da vulnerabilidade na web.

O anúncio de hoje pegou muitos pesquisadores de surpresa. “Pensei que fosse levar mais tempo”, afirmou o chefe tecnologia de segurança da Qualys, Wolfgang Kandek. “Mas, ao divulgar a correção agora, a Microsoft sugere existir um razão muito forte para não aguardar até o próximo Patch Tuesday [13/4]. É provável que eles tenham notado um aumento no número de ataques”.

O diretor de segurança de operações da nCircle Network Security, Andrew Storms, concorda. “Não estava esperando por isso, ainda mais porque Microsoft emitiu o aviso a menos de um mês. Eles não alteram seu calendário salvo quando há uma razão muito forte para isso”.

Como Kandek, Storms entende que a Microsoft acelerou a liberação desta atualização cumulativa do IE porque deve ter percebido um aumento no número de ataques explorando a vulnerabilidade de dia zero.

Storms acredita que a Microsoft pode corrigir ainda outras vulnerabilidades no navegador, levando em conta os recentes alertas de segurança emitidos este ano. Em fevereiro, a Microsoft informou sobre um bug no IE rodando no Windows XP que poderia ser usado por criminosos virtuais para acessar arquivos no PC; e, no início deste mês, a empresa pediu para usuários do XP não pressionarem a tecla F1 (auxílio) quando solicitada por qualquer site, indicando uma falha ainda não corrigida que poderia abrir o computador para o controle de crackers.

A atualização do Internet Explorer desta terça-feira (30/3) se aplica a todas as versões do navegador – IE 5.01; IE 6; IE 7 e IE 8 – rodando em todas as versões do Windows 2000, XP, Vista, Server 2003, Server 2008, Windows 7 e Server 2008 R2.

Caso siga seu ritual, a correção será liberada pela Microsoft por volta das 17h.

Fonte: PCWord

Microsoft, Adobe e Oracle lançam atualizações de segurança

O ano começou com correções por parte das empresas de tecnologia, o que envolve mudanças em diferentes produtos.

O ano começou começou com correções de segurança por parte de diferentes empresas. A Microsoft, por exemplo, deu boas vindas a 2010 fazendo ajustes leves e lançando apenas um comunicado de segurança.

O boletim MS10-001 aponta vulnerabilidades do mecanismo de fontes Open Type. O erro é considerado crítico, mas só se aplica a sistemas Windows 2000. Para todas as outras versões do Windows ele é considerado baixo.

O engenheiro de segurança da nCircle, Tyler Reguly, caracteriza a atualização da Microsoft como trivial. “Bem-vindo a um início lento de ano. Uma única correção, e do ponto de vista de pesquisa, nem é interessante. Todos os patches devem ser levados a sério, mas esse não é um fogo que precisa ser apagado rapidamente.Trata-se apenas de uma medida normal no ciclo das correções.”

O diretor de segurança da nCircle, Andrew Storms, sugere que o tempo gasto na implementação de patches seja usado para outros fins. “É uma terça-feira de atualização muito leve na Microsoft, e as equipes de TI devem tomar vantagem da situação para se preocupar com outras questões.”

Storms reforça, porém, que “um dos erros que não foi corrigido esse mês é uma vulnerabilidade de negação de serviço SMB que está aberta desde o meio de novembro. Como a Microsoft deixou a falha do jeito que está por tanto tempo é claro que o erro não é tão sério como se pensava.”

Adobe e Oracle
Apesar da Adobe e a Oracle não seguirem o mesmo ciclo de lançamento de patches de correção da Microsoft, coincidentemente as empresas lançaram atualizações críticas na terça-feira (12/1).

A Adobe lançou uma correção trimestral que conserta uma vulnerabilidade no Adobe Reader que estava sendo explorada desde as festas de fim de ano. Na época, a empresa sugeriu que os usuários desativassem a função JavaScript.

Storms acredita que, “uma vez considerado o formato de documentos mais seguro, o Adobe PFF se tornou uma presa para ataques sérios de segurança. Depois de um ano sólido nas questões de segurança, as práticas da Adobe estão sendo seriamente questionadas. É irônico considerar que nós talvez tenhamos atingido um ponto no qual documentos do Office sejam mais seguros do que arquivos PDF.”

A Oracle também lançou sua atualização trimestral. A empresa soltou 24 pacotes de segurança que afetam sete produtos diferentes. A maior parte das vulnerabilidades pode ser explorada remotamente sem autentificação, tornando-as críticas. Servidores de banco de dados não podem ser expostos à rede, mas administradores de TI têm que examinar aplicativos afetados para determinar o risco aos quais eles estão expostos.

Fonte: IDG Now!

Microsoft adia correção de bug que pode travar Windows 7

Pacote de atualizações previsto para a próxima terça-feira (12/1) terá apenas uma correção, para um bug que só é crítico para Windows 2000.

A Microsoft afirmou nesta quinta-feira (7/1) que vai liberar na próxima terça-feira (12/1) apenas uma atualização de segurança, que corrige uma única vulnerabilidade do Windows.

Ao mesmo tempo, a empresa reconhece que não tem ainda uma correção para a falha do Windows 7, tornada pública dois meses atrás.

A atualização a ser liberada conserta uma vulnerabilidade que só é tida como “crítica” – o nível mais sério do sistema de classificação da Microsoft – no Windows 2000. Esse bug também afeta o Windows XP, o Vista e o Windows 7, bem como o Windows Server 2003, Server 2008, e Server 2008 R2, mas nessas versões o risco é classificado como “baixo”.

Sobre o tipo de bug a ser corrigido, “a primeira coisa que vem em mente, em relação aos novos sistemas, é uma vulnerabilidade de negação de serviço e, no Windows 2000, uma brecha para execução de código remoto”, disse o diretor de operações de segurança da nCircle Network Security, Andrew Storms.

Risco baixo
 
A Microsoft minimizou o risco potencial, mesmo para usuários do Windows 2000. “O índice de exploração dessa falha não será alto, o que diminui o risco geral”, afirmou Jerry Bryant, um porta-voz da Microsoft, em comentário publicado nesta quinta-feira no blog da empresa para temas de segurança.

Storms vê com bons olhos a carga leve da atualização de terça-feira, que sucede diversos meses de atualizações múltiplas: a Microsoft atingiu um recorde em outubro, quando publicou correções para 34 vulnerabilidades em 13 atualizações separadas. “É bom ter um mês leve, especialmente com a questão das vulnerabilidades da Adobe”, disse Storms, referindo-se a um bug na tecnologia PDF da empresa, que também deve ser corrigido em 12/1.

A Adobe, que em meados de julho prometeu liberar correções de segurança para o Reader e o Acrobat a cada trimestre, também vai corrigir falhas nesta terça-feira. A Adobe publicou sua própria notificação “pré-correção” nesta quinta-feira, mas como é de praxe recusou-se a detalhar quantas vulnerabilidades, além das que já são exploradas pelos crackers, serão corrigidas.

Para depois
 
A Microsoft, por sua vez, decidiu adiar uma correção, o que já foi confirmado por Bryant: a empresa não vai consertar uma espantosa vulnerabilidade de negação de serviço, detectada no Windows 7 e no Windows Server 2008 R2. “Ainda estamos trabalhando em uma correção”, disse.

Em meados de novembro, a Microsoft confirmou que o bug no Server Message Block (SMB), um protocolo criado pela empresa para compartilhamento de arquivos e de impressoras, poderia ser usado por crackers para comprometer computadores com Windows 7 e Windows Server 2008 R2. A Microsoft alega que a vulnerabilidade não pode ser usada para invadir PCs.

A falha do Windows 7 foi descoberta primeiro pelo pesquisador canadense Laurent Gaffie em 11/12, um dia depois que a Microsoft publicou as correções daquele mês. Gaffie publicou um código de ataque como prova de conceito em uma lista de discussão de segurança. De acordo com o pesquisador, a exploração da falha causa o travamento do Windows 7 e do Server 2008 R2 de tal maneira que a única coisa a fazer é desligar manualmente os computadores.

“De uma perspectiva de relações públicas, eu esperaria que a Microsoft consertasse o bug do SMB este mês”, disse Storms. “Por outro lado, não ficaria surpreso se isso não ocorresse, já que é apenas um bug de negação de serviço”.

A previsão é que a Microsoft libere sua atualização de segurança em 12/1 aproximadamente às 16 horas (horário de Brasília).

Fonte: IDG Now!