Destaques

Solicite sua guia

Contribuição para Fortalecimento Sindical 2023

Programa Estagiário Legal

Tenha estagiários com segurança jurídica

Cadastre-se no TI Rio Notícias

Receba em seu e-mail pauta das assembleias, notícias do setor de TI, agenda de eventos e muito mais

Mais notícias

Solicite o recolhimento gratuito de lixo eletrônico20/06/2024

Contribuição Assistencial para o Fortalecimento Patronal - Mensagem de nosso Presidente18/06/2024

CAMPANHA LIXO ELETRÔNICO 202405/06/2024

Governo e Congresso chegam a acordo sobre desoneração da folha de 17 setores09/05/2024

Microsoft corrige bug "drive-by" em Patch Tuesday de março

10/03/2011

Mais leve, pacote de correções do mês traz três soluções para quatro vulnerabilidades no Windows e no Office; falhas do IE ficaram de fora.

A Microsoft liberou na terça-feira (8/3) três atualizações de segurança que corrigem quatro vulnerabilidades no Windows e no Office.

E, como esperado, a Microsoft não lançou correções para o Internet Explorer, uma ação que aumentaria suas chances de sobrevivência ao Pwn2Own, concurso de hacking que começa nesta quarta-feira (9/3), no Canadá.

O pacote de correções, que ganhou o apelido de Patch Tuesday, não vai sobrecarregar os usuários. “É um mês leve”, disse Jerry Bryant, gerente de grupo do Microsoft Security Response Center (MSRC), equipe responsável por investigar, consertar bugs e liberar correções.

A Microsoft adota o costume de entregar um menor número de correções em meses ímpares. Em janeiro, por exemplo, ela corrigiu apenas três vulnerabilidades. No mês passado, foram 22.

Crítica

Das três atualizações – que a Microsoft chama de “boletins” –, apenas uma foi classificada como “crítica”, o nível mais alto do ranking da empresa. As outras duas foram consideradas “importantes”, o segundo nível mais severo.

A atualização crítica é descrita pelo boletim MS11-015.“É com esta que devemos nos preocupar mais”, disse Wolfgang Kandek, CTO da Qualys.

A atualização corrige duas vulnerabilidades. Uma delas está em componentes do Windows Media Center e do Windows Media Player, encontrados em quase todas as versões do Windows. A falha está nos arquivos Digital Video Recording (DVR-MS), que são criados pelo motor de armazenamento de stream (Stream Buffer Engine, ou SBE) e gravados com a extensão “dvr-ms”.

“Esta é uma vulnerabilidade do tipo navegue e domine”, disse Bryant, fazendo referência ao tipo de bug que invasores poderiam explorar simplesmente convencendo os usuários a visitar um site malicioso.

Drive-by

“É um bug drive-by”, concordou Andrew Storms, diretor de operações de segurança da nCircle Security. “Há dois métodos de exploração. O primeiro é por meio de um IFRAME, que poderia ser um drive-by típico. O outro é como um anexo de e-mail, que parece que os usuários teriam mesmo de abri-lo e não apenas visualizá-lo [em seus programas de e-mail].”

Todas as versões para desktop e notebook do Windows, incluindo XP, Vista e 7, são vulneráveis até que sejam corrigidas. A única exceção: Windows XP Home Edition, onde o codec vulnerável não opera, disse Angela Gunn, gerente de comunicações sênior do MSRC.
A segunda vulnerabilidade do MS11-015, bem como as duas outras corrigidas no MS11-016 e MS11-017, são classificadas como falhas do tipo “DLL load hijacking”, bugs também chamados de “infiltração binária”.

Sequestro de DLL

Foi em agosto de 2010 que pesquisadores levantaram questões sobre o sequestro de carga de DLL no Windows e em outros softwares da Microsoft, e também em diversos softwares de terceiros produzidos para o sistema. A Microsoft começou a consertar os problemas com seus programas em novembro.

Em dezembro, Bryant disse que a Microsoft acreditava ter liquidado sua questão com o sequestro de carga de DLL. Mas, em janeiro e fevereiro, a empresa lançou correções adicionais para o problema.

“Para nós, essa é uma investigação em andamento”, disse Bryant na terça-feira. “Pensamos ter encontrado todas as falhas desse tipo no IE, mas ainda falta o resto de nossa base de produtos.”

Kandek e Storms disseram que é provável que a Microsoft continue a publicar correções para falhas de sequestro de carga de DLL por algum tempo. “Isso vai durar anos, não apenas na Microsoft, mas também em terceiros que produzem software para Windows”, disse Kandek.

Despercebido

Apesar de o alarme ter soado em agosto e a Microsoft ter publicado uma ferramenta para bloquear ataques em potencial, os hackers não têm usado a técnica para afetar máquinas Windows. Se usaram, seus esforços têm passado despercebidos.

Storms não se surpreende.

“São falhas difíceis de serem exploradas”, disse. “No ano passado, dizíamos em coro ‘ai meu deus’, mas acontece que não é tão fácil explorar essas falhas porque elas exigem que os usuários naveguem em sites maliciosos e abram o arquivo, para que então o invasor instale um DLL [malicioso] e um arquivo ruim. São passos demais.”

HD Moore, principal executivo de segurança na Rapid7 e criador da popular ferramenta de hacking de código aberto Metasploit, lembrou as empresas que elas podem dificultar a exploração do bug de sequestro de DLL ao desligar o serviço cliente WebDAV em todos os PCs com Windows, e bloquear as portas de saída 139 e 445.

Moore foi um dos primeiros a revelar as novas classes de vulnerabilidades de sequestro de carga de DLL no ano passado.

Desafio

A Microsoft, no entanto, não corrigiu o IE antes do desafio hacker Pwn2Own que começa nesta quarta-feira.

O Pwn2Own desafia os pesquisadores de segurança a brigarem contra quatro browsers: IE, Apple Safari, Google Chrome e Mozilla Firefox. A competição, que ocorre em Vancouver, no Canadá, vai até 11 de março. O primeiro pesquisador a derrubar o IE, o Safari ou o Firefox vai ganhar um prêmio de 15 mil dólares. Para o Chrome, a bolada é de 20 mil.

Bryant disse que não valia a pena abandonar o cronograma de correções para lançar uma atualização de segurança inesperada apenas para aumentar as chances de sobrevivência do IE no concurso Pwn2Own.

“Não vemos razão para confundir os consumidores apenas por causa do concurso”, acrescentou. “Sair do cronograma é uma confusão em potencial, e não faríamos isso a menos que uma vulnerabilidade estivesse sendo intensamente explorada.”

A recusa da Microsoft em corrigir o IE antes do Pwn2Own não surpreende. A empresa agora entrega atualizações do IE em meses pares, e a última correção veio em 8/2.

Confinado

De qualquer forma, completou Bryant, não há perigo de que qualquer vulnerabilidade explorada no Pwn2Own escape para o mundo exterior. “Os bugs do Pwn2Own são relatados para os fornecedores de forma coordenada”, disse.

A HP Tipping Point, cujo programa de bônus de caça a bugs Zero Day Iniciative (ZDI) patrocina o Pwn2Own e paga a maior parte dos prêmios em dinheiro, compra os direitos dos bugs explorados no concurso, para então informá-los ela mesma aos fornecedores. A ZDI dá aos desenvolvedores seis meses para consertar os bugs que adquire, antes de tornar a informação pública.

Tanto a Google quanto a Mozilla atualizaram recentemente seus browsers – a Google tornou a atualizar o Chrome na terça-feira – e a Apple também deverá atualizar o Safari antes do início do torneio.

As atualizações de segurança da Microsoft podem ser baixadas e instaladas por meio dos serviços Microsoft Update e Windows Update, bem como pelo WSUS (Windows Server Update Services).

Site: IDG Now!
Data: 09/03/2011
Hora: 11h27
Seção: Segurança
Autor: Gregg Keizer
Link: http://idgnow.uol.com.br/seguranca/2011/03/09/microsoft-corrige-bug-drive-by-em-patch-tuesday-de-marco/