Microsoft Patch Tuesday | Monthly Security Update
A Microsoft hoje corrigiu uma falha grave, sob ataque, em um controle ActiveX de vídeo, junto com outras falhas críticas envolvendo arquivos e fontes do QuickTime. Mas um buraco crítico de dia zero em outro controle ActiveX permanece sem correção.
A correção mais importante no Patch Tuesday de hoje corrige um buraco divulgado oito dias atrás no controle Microsoft Video ActiveX. A falha, que está sob ataque ativo, é classificada como crítica para o Windows XP e moderada para o Windows 2003. O patch MS09-032 desabilita o controle não utilizado (para fins legítimos) para impedir possíveis ataques, mas na verdade não corrige a falha subjacente
Observação: a partir das 14h, a Microsoft ainda não publicou os links de boletins individuais (para MS09-032, etc.). Até que esses links só o levem para a home page do TechNet.
[Leitura adicional: Como remover malware do seu PC com Windows]Uma segunda correção fecha outra brecha de ataque envolvendo a maneira como o Microsoft DirectShow processa o QuickTime conteúdo. O patch MS09-028 fecha três bugs de segurança, divulgados em maio, que podem ser acionados durante a abertura ou até mesmo apenas a visualização de um arquivo do QuickTime envenenado. O Windows XP, 2000 e o Server 2003 são todos afetados, mesmo que o QuickTime da Apple esteja ou não instalado no PC vulnerável. Consulte o boletim MS09-028 para obter mais informações.
Duas vulnerabilidades críticas no Microsoft Embedded OpenType Font Engine são fechadas com o terceiro patch, MS09-029. Embora nenhuma das falhas esteja listada como estando sob ataque ativo, ambas recebem uma classificação "Código de exploração consistente provável" perigoso no Índice de exploração da Microsoft. Windows 2000, XP, Server 2003, Vista e Server 2008 estão em risco.
Três outros patches fecham buracos classificados como importantes, em vez de críticos. Um patch para o Office 2007 fecha um buraco no Microsoft Office Publisher que pode ser atacado ao abrir um arquivo malicioso do Publisher (consulte o boletim MS09-030). Dois outros para Virtual PC e Virtual Server (MS09-033), e para o Microsoft Internet Security e Acceleration Server 2006 (MS09-031), fecham privilégios de garantia de escalonamento de privilégios e são provavelmente a maior preocupação para os tipos de TI.
Essas correções chegará via Atualizações Automáticas, e você também poderá recuperá-lo manualmente executando o Microsoft Update. Mas tenha em mente que uma falha crítica reportada ontem permanece sem correção. A falha envolvendo um controle ActiveX instalado no Office permite ataques de drive-by-download, mas pode ser mitigada executando-se um rápido download do Fix-it.
Outro dia, outro boato da Apple Tablet
Analista da Piper Jaffray prevê que a Apple lançará tablet no início do ano que vem com um preço de US $ 600.
Patch Tuesday deixa o Internet Explorer com zero dia intocado
Há apenas dois boletins críticos de segurança este mês, mas um dia zero descoberto recentemente no Internet Explorer permanece vulnerável.
Microsoft cuida do IE dia zero com atualização do Patch Tuesday
A Microsoft lançou 10 boletins de segurança para o Patch Tuesday, incluindo um patch para um exploit de dia zero recentemente descoberto para o Internet Explorer.