Patch Tuesday: Segurança do Focus como Microsoft, Oracle Patch Bugs

mãe de todos os dias de patches para empresas de TI, com Microsoft e Oracle lançando atualizações críticas de software.

Microsoft deu o pontapé inicial na manhã de terça-feira com 11 atualizações de segurança, incluindo correções para erros críticos de segurança no Windows Active Directory, Internet Explorer e Excel e o Microsoft Host Integration Server, que integra computadores Windows com mainframes IBM

Especialistas em segurança dizem que a atualização do Internet Explorer, que corrige seis bugs no navegador, é a única a ser observada. Isso porque é classificado como crítico para usuários do Internet Explorer 6 que executam o Windows XP - uma configuração muito comum na empresa.

[Leitura adicional: Como remover malware do seu PC com Windows]

Mas clientes que estão executando o Windows Active O diretório em máquinas Windows 2000 mais antigas deveria mover a atualização do MS08-060 Active Directory para o topo de sua fila de patches, disse Don Leatham, diretor de soluções e estratégia da Lumension Security. Como um servidor do Active Directory pode ser usado para definir permissões em outras máquinas e gerenciar usuários na rede, assumir a máquina "seria o Santo Graal para alguém que tentasse entrar em uma empresa e perturbá-la totalmente", disse ele. > Normalmente, os servidores do Active Directory são bloqueados no firewall, o que significa que um invasor provavelmente precisa estar em uma rede interna para montar um ataque, disse Eric Schultze, diretor de tecnologia da Shavlik Technologies. Mas o erro "significa que qualquer usuário interno e insatisfeito pode assumir o controle total sobre os domínios e controladores de domínio do Windows 2000", disse ele por mensagem instantânea.

Atenuar essa preocupação, no entanto, é o fato de a Microsoft não ter relatos de que vulnerabilidade foi explorada em um ataque. Embora seja provável que um invasor consiga travar a máquina Windows 2000 explorando esse bug, "é difícil criar código de exploração funcional para aproveitar a execução remota de código", disse a Microsoft em uma nota em seu site. foram corrigidos nas 11 atualizações da Microsoft. Havia também seis atualizações menos críticas, classificadas como "importantes" pela Microsoft, para vários componentes do Windows, e um patch "moderado" que corrige um bug que poderia permitir que um invasor espionasse informações de um usuário do Office.

Atualizações de segurança da Oracle, esperado às 13h O horário do Pacífico incluirá correções para 36 bugs em uma variedade de produtos Oracle, incluindo o principal Database da empresa, seu servidor de aplicativos, o E-Business Suite e o servidor WebLogic e ferramentas de desenvolvimento. Correções de bugs também são planejadas para os produtos JD Edwards e PeopleSoft da empresa.

É incomum que tanto a Microsoft quanto a Oracle estejam aplicando patches no mesmo dia. As atualizações de segurança da Microsoft saem na segunda terça-feira de cada mês, conhecida como Patch Tuesday na indústria. Mas os patches da Oracle são trimestrais, entregues na terça-feira mais próxima do meio do mês. Normalmente, isso coloca os patches da Oracle na terceira terça-feira do mês, mas neste mês, as datas de lançamento da Microsoft e da Oracle convergiram.

As atualizações da Microsoft de terça-feira vieram com um pouco mais de informações para os clientes da empresa também. Eles incluíram uma nova seção chamada "Exploitability Index", projetada para tornar mais fácil para os usuários do Windows descobrir quais bugs são mais propensos a serem explorados por hackers.

A Microsoft classificou todas as suas atualizações de segurança com as seguintes descrições: "Provável Código de Exploração Consistente", "Provável Código de Exploração Inconsistente" ou "Código de Exploração em Funcionamento Improvável."

A empresa disse que o código de exploração era provável para erros nas atualizações críticas do Internet Explorer, Microsoft Host Integration Server e Excel. Um dos bugs do Internet Explorer, que pode permitir que um atacante ganhe privilégios elevados em uma máquina Windows, já foi divulgado publicamente, mas não parece ter sido usado em ataques do mundo real, disse a Microsoft.Outra novidade: a Microsoft deu a alguns parceiros de segurança acesso antecipado a suas atualizações este mês, para que eles pudessem colocar a detecção de ataques em seu software, conforme os patches foram lançados na terça-feira.