Ataque Zap Zero-Day antes dele Zaps You

Sinto alguma nostalgia ao escrever esta coluna porque, depois de gravar Bugs & Fixes por oito anos e meio - 102 colunas no total - é hora de assinar fora. Eu gostei imensamente de escrever para você durante todos esses anos, e eu sou grata que o PC World me deu a oportunidade de fazê-lo.

Eu sempre tive dois objetivos em mente: ajudá-lo afastar as ameaças atuais e fornecer informações úteis sobre como funcionam as falhas de segurança e os ataques, para que você esteja mais bem preparado para lidar com problemas futuros. Espero ter cumprido pelo menos o espírito desses objetivos. Agora, como meu pai em Montana costumava dizer: "Nuff disse."

Os insetos continuam marchando junto, e este mês não é exceção. Vamos começar com a Microsoft.

[Leia mais: Como remover malware do seu PC com Windows]

Apesar de recentemente corrigir mais bugs - incluindo 23 vulnerabilidades críticas - do que em qualquer outro momento nos últimos cinco anos, a empresa foi pega de surpresa por um bug desconhecido em todas as versões suportadas do Internet Explorer (incluindo o IE 8 Beta 2). Esse bug gerou rapidamente uma onda de ataques de dia zero on-line, como os criminosos atacaram pela Web antes da Microsoft. tinha desenvolvido qualquer patch ou solução alternativa para ele.

O bug afeta uma função-chave conhecida como "ligação de dados" que o IE depende ao lidar com uma linguagem da Web chamada XML; o buraco envolve uma falha ao liberar a memória corretamente quando ela não é mais necessária.

Um programa mal-intencionado pode explorar o bug carregando seu próprio código na memória excedente para poder controlar o seu PC. Se você visitou um site armadilhado ou clicou em um link envenenado em um e-mail, nem mesmo definindo seus níveis de segurança do IE para o máximo teria parado.

Os desenvolvedores da Microsoft correram uma correção para tapar o buraco, mas o esforço levou uma semana; Enquanto isso, os ataques se espalharam. Não me entenda mal: eliminar uma grande correção em apenas oito dias não é pouca coisa. E a Microsoft reconheceu que a ameaça era assustadora o suficiente para justificar a liberação do patch "fora de ciclo", em vez de esperar pelo próximo "Patch Tuesday".

Como precisava remover o patch imediatamente, a Microsoft não o fez. oferecer a correção do IE como uma "atualização cumulativa". Isso é uma indicação de quão perigosa a equipe de segurança da Microsoft considerou esse bug.

Como os ataques ocorreram "em estado selvagem", a Microsoft pede que você obtenha o patch o mais rápido possível (se você não tiver atualizações automáticas habilitadas) do Boletim de Segurança da Microsoft. MS08-078 page.

Mais Microsoft Bugs

E os outros 23 bugs críticos? Eu não posso cobri-los todos aqui, mas estes são os que parecem mais importantes:

Antes do ataque do dia zero, a Microsoft lançou um patch cumulativo para o IE que corrige quatro falhas críticas no IE versões 5.01 (no Windows 2000 SP4) através do IE7 (no Vista SP1). Vários dos pontos fracos são tecnicamente semelhantes ao ataque de dia zero.

Ao contrário do patch fora de ciclo da Microsoft, nenhuma das 23 vulnerabilidades foi atacada ainda. Como de costume, seja diligente em manter suas atualizações atualizadas. Clique sobre o boletim de segurança da Microsoft MS08-073 para obter mais informações e um link para os patches. A Microsoft também corrigiu dois buracos na interface de dispositivos gráficos do Windows, que permite aos programas mostrar texto e gráficos no formato Windows Metafile, um formato de arquivo normalmente usado para ilustrações, ilustrações e apresentações. Você pode pensar que está carregando uma imagem quando, na verdade, já foi comprometido Como de costume, para ser atacado, tudo o que você precisa fazer é visitar um site mal-intencionado ou clicar em um link dele em um -mail.

Se você ainda não recebe atualizações automaticamente, consulte o Boletim de Segurança da Microsoft MS08-071 para obter mais informações e um link para o patch

Mais dois furos - dessa vez no Windows Search para Windows Vista- -Poderia resultar em completa perda de controle sobre o seu PC. Como o bug do IE, um dos buracos na Busca é aberto quando tenta liberar memória usada anteriormente. O Vista possui um recurso chamado Windows Search que indexa seu sistema para fornecer resultados de pesquisa mais rápidos e permitir que você armazene pesquisas para reutilização posterior. A manobra que um dos bugs usa é induzir você a abrir e salvar um arquivo de busca manipulado seguindo um link errôneo em um e-mail ou em um site armadilhado. Todos os ladrões que ainda usam o Windows XP estão seguros. Apenas os sistemas do Vista (incluindo o SP1 e o SP2 Beta) estão em risco. Obtenha mais informações no Boletim de Segurança da Microsoft MS08-075.

Como dizem na TV: Mas espere, tem mais! A Microsoft também corrigiu uma série de bugs no Office, incluindo um bug crítico que afeta o Word 2007. Leia mais sobre todos esses bugs e seus patches na página de resumo do Boletim de Segurança da Microsoft de dezembro de 2008.

Killing Off Firefox 2

Os últimos ataques de dia zero levaram alguns especialistas a renovar sua recomendação de que os usuários do IE mudem para o Firefox. Embora eu não discorde desse conselho, os hackers provavelmente prestarão mais atenção ao Firefox - e, assim, encontrarão mais buracos - à medida que ganhar participação de mercado contra o IE.

Para manter o Firefox seguro, o pessoal da A Mozilla montou uma nova atualização para o navegador que corrige uma série de falhas de segurança, várias delas críticas. Um bug reside no recurso de restauração de sessão do navegador. Outros poderiam permitir que um invasor tirasse proveito de falhas no mecanismo de JavaScript (uma linguagem popular de programação) do Firefox para permitir que um invasor assumisse seu PC.

Esta versão - Firefox 2.0.0.20 - será a última atualização de segurança para o Linha do Firefox 2, funcionários da Mozilla anunciaram em um post no blog. Por quê? Faz sentido suportar uma única base de código, então a Mozilla está pedindo aos usuários que migrem para o Firefox 3 (atualmente na versão 3.0.5). Oito dos novos patches são aplicados à versão 2 e à versão 3.

Se você ainda não tiver a atualização instalada por meio do recurso de atualização automática do Firefox, poderá obtê-la na página de downloads do Mozilla Firefox. No navegador, selecione

Ajuda, Verificar atualizações. Isso é tudo para mim. Espero ver todos vocês de novo algum dia, mais abaixo na supervia da informação.