Erros e Correções: Uma Rara Correção de Emergência da Microsoft

A Microsoft pode estar se sentindo como o garotinho holandês no último mês, entupindo falhas com correções regulares e com raras correções fora de ciclo em

O patch fora de ciclo, crítico para todas as versões do Internet Explorer em 2000, XP e Vista, aborda a manipulação do IE dos controles ActiveX falhos criados com o Microsoft Active Template Library (ATL), uma ferramenta de desenvolvedores incluída no Visual Studio. PCs em risco podem ser atingidos por um ataque drive-by-download. Essa vulnerabilidade séria afeta muitos controles ActiveX. Por exemplo, a Adobe confirmou em seu site de segurança que seus controles Shockwave e Flash Player ActiveX "usam as versões vulneráveis ​​da ATL" e que estão trabalhando em uma correção. O problema também afeta o IE no Windows Server 2003 e 2008, mas é classificado como moderadamente severo nesses SOs.

Zero-Day Fixes

O lançamento regular da Patch Tuesday da Microsoft fechou muitos outros furos, incluindo uma falha de dia zero. sido atacada e envolvia um controle ActiveX usado pelo Microsoft Video. Embora o patch tenha desativado o controle, que não servia a nenhum propósito legítimo, ele não corrigiu a falha subjacente. A correção, crítica para o Windows XP e moderada para o Windows Server 2003, não afeta o Windows 2000, Vista ou Server 2008.

[Leitura adicional: Como remover malware do seu PC com Windows]

Uma segunda correção interrompida ataques ao processamento do conteúdo do QuickTime pelo Microsoft DirectShow. Os ataques, que não dependem de ter o QuickTime da Apple instalado, podem ser acionados se a vítima abrir ou visualizar um arquivo do QuickTime envenenado. O DirectX 7, 8.1 e 9.0 no Windows 2000 precisa da correção, assim como o DirectX 9.0 no XP e no Server 2003. O Vista e o Server 2008 recebem um passo.

Outras correções críticas trataram de falhas em como todas as versões suportadas do Windows lidam com fontes Páginas da Web, email e documentos do Office. As falhas no Embedded OpenType Font Engine não foram atacadas antes do lançamento do patch, mas são doozies.

Uma falha séria no Microsoft Office Web Components envolve um problema de ActiveX que permite ataques a usuários do IE. Uma ampla variedade de componentes e versões do Office precisa da correção; Para obter uma lista completa dos softwares afetados, consulte a página da Microsoft vinculada

Você pode pegar todas as correções acima mencionadas pelo Windows Update.

Patches Adobe e Firefox

A Microsoft não foi a única a sofrer com um zero -dia ameaça ao longo do último mês. A Adobe, outro alvo popular, lançou correções para o Flash (em todas as plataformas), bem como para o Reader, Air e Acrobat, após relatos de ataques que usaram PDFs envenenados para explorar falhas do Flash. Para se proteger contra esses ataques em várias proporções, atualize todos os seus aplicativos da Adobe. Pegue o Flash versão 10.0.32.18 e o Air mais recente no site da Adobe. Para o Reader, atualize para a versão 9.1.3 abrindo o programa e escolhendo Ferramentas, Verificar Atualizações. Consulte o boletim de segurança da Adobe para obter links para as atualizações do Acrobat para Mac e Windows, juntamente com mais detalhes.

Para envolver os seus itens obrigatórios, os usuários do Firefox devem atualizar para a versão mais recente disponível para aplicar várias correções em vários orifícios nas versões 3 e 3.5, incluindo uma séria falha no manuseio de JavaScript do 3.5, além de um problema que afeta o uso de certificados SSL do Firefox 3 para criptografar conexões seguras da Web (3.5 já estava a salvo dessa falha). Clique em Ajuda, Verificar atualizações para confirmar se você possui a versão mais recente. E se você ainda estiver na versão 3, visite o site do Firefox para baixar o 3.5; é uma atualização relativamente indolor.