Apple corrige erro no Safari que permitia invasão.
A semana foi marcada por uma enxurrada de atualizações. A segunda terça-feira do mês (13) trouxe os esperados boletins de segurança da Microsoft, juntamente com os remendos para Windows, Office e programas de servidor da empresa. A Oracle, a Apple e a Adobe pegaram carona, lançando atualizações para o Java, Mac e Reader, respectivamente – todas para corrigir falhas de segurança.
>>> Microsoft conserta 25 brechas de segurança
O mês de abril vai ser agitado para empresas que usam programas da Microsoft. Usuários também podem “sofrer”, mas bem menos, é claro, com o pacote de atualizações lançado para abril esta semana. São 25 falhas corrigidas por 11 boletins. O Windows recebeu a maioria das atualizações. O Office, por meio do Publisher e do Visio, também foi remendado. Nos servidores, o Windows Media Services, o Exchange e o ISA Server receberam atualizações.
Entre as falhas corrigidas está a que permitia a invasão do PC caso o usuário pressionasse F1 em um site malicioso. A vulnerabilidade é pública desde o início de março.
Outra brecha grave permite que um invasor crie um site com conteúdo multimídia que faz o Windows Media Player se comportar de maneira insegura, permitindo a invasão do PC do internauta.
Outra falha está presente no decodificador de MP3 do Windows. Embora ela esteja no componente responsável por processar o MP3, ela apenas pode ser acionada por arquivos AVI. Arquivos AVI são normalmente usados para vídeo. No entanto, vídeo também contém áudio, e esse áudio pode estar codificado em MP3, o que requer o decodificador. Nessas condições, a falha pode ser explorada e um arquivo AVI pode ser capaz de instalar vírus no computador.
Normalmente, arquivos de vídeo e áudio não representam qualquer risco ao serem abertos. Brechas como essa são a única maneira de fazer com que arquivos de dados, como vídeo, consigam atacar o sistema.
O componente do Windows que mais recebeu atualizações foi o kernel – o “coração” do sistema operacional. Foram 8 vulnerabilidades. Elas permitem que um programa consiga elevar seus privilégios, burlando a proteção trazida por contas limitadas. No Windows 7, essas falhas são menos graves. Em vez de dar acesso total ao sistema, o computador simplesmente trava e o ataque não avança, segundo a Microsoft.
As atualizações devem ser instaladas o quanto antes. Isso pode ser feito por meio das atualizações automáticas, que podem ser configuradas no Painel de Controle. Este mês, a Microsoft voltou a adotar uma política que visa reduzir problemas com atualizações, depois que um vírus fez uma delas – também no kernel do sistema gerar telas azuis incessantes. Computadores que estiverem infectados receberão uma mensagem de erro em vez da atualização no kernel.
>>> Falha “dia zero” no Java é explorada; Oracle corrige “fora de hora”
Uma brecha dia zero divulgada na internet por um pesquisador do Google já começou a ser explorada. O pesquisador decidiu publicar a falha depois que a Sun (empresa pertencente à Oracle e responsável pelo Java) afirmou que não considerava o problema sério o suficiente para lançar uma atualização fora do ciclo de três meses que a empresa segue.
O especialista que descobriu o problema, Tavis Ormandy, não concordou. E decidiu colocar as informações na web, porque, segundo ele, “isso seria do interesse de todos menos do desenvolvedor”. A brecha, que é simples de ser explorada, logo começou a aparecer em sites maliciosos. Um popular site de letras de músicas, o songlyrics.com, foi invadido para enviar aos usuários o código malicioso, segundo o site de segurança britânico The H.
Depois que a vulnerabilidade começou a ser explorada, uma atualização (Update 20) do Java foi lançada para corrigir o problema. As notas de versão não informam que algo foi corrigido, mas, ainda de acordo com o The H, não é possível explorar a falha nessa nova versão.
A Oracle havia começado a distribuir outra atualização, o Update 19, no final do mês passado para corrigir 27 brechas de segurança.
A atualização é altamente recomendada. O Java possui um recurso de atualização automática, que irá informar que uma atualização está disponível. Aceite-a e prossiga até a instalação.
>>> Apple e Adobe lançam correções de segurança também
Juntando-se à Oracle e à Microsoft, a Apple e a Adobe também lançaram correções de segurança esta semana. A Adobe corrigiu 15 vulnerabilidades no Reader e no Acrobat. A Apple consertou o problema usado por Charlie Miller na Pwn2Own para invadir o MacOS X pelo navegador Safari.
O problema estava no componente do sistema responsável pelo processamento de fontes (tipos de letra). Miller usou uma fonte personalizada maliciosa que, ao ser carregada pelo Safari, permitiu a invasão do computador.
A brecha explorada no iPhone ainda não foi corrigida. A Mozilla foi a primeira a lançar uma correção para a falha utilizada na competição, no Firefox. A Microsoft ainda não lançou uma atualização para o Internet Explorer 8 que corrige o erro usado, e a Apple ainda precisa consertar o iPhone.
