Pacotes de correções de março envolve quatro atualizações críticas relacionadas a vulnerabilidades na suíte.
A Microsoft anunciou nesta terça-feira (11/03) quatro atualizações críticas que envolvem 12 vulnerabilidades no pacote Office. As atualizações podem ser feitas no site de segurança da Microsoft ou automaticamente pelo Windows Update.
Conforme adiantou a empresa na última quinta-feira (06/03), as correções, que integram o pacote mensal de atualizações da Microsoft (Patch Tuesday), incluem um bug no Excel, que vinha sendo explorado nos últimos dois meses.
De acordo com o especialista em segurança Paul Zimski, diretor sênior de estratégia de marketing da Lumension, entre 2006 e 2007 o número de ataques usando falhas no Office dobrou. “As empresas não podem bloquear anexos do Office e documentos gerados neste pacote são geralmente confiáveis, na visão dos usuários”, observa Zimski.
Embora todas as atualizações sejam críticas, os administradores de sistemas devem ficar atentos ao update MS08-014, que corrige uma falha no Excel já conhecida e explorada por terceiros desde meados de janeiro.
O problema afeta os programas Excel 2000, 2002 e 2003, incluindo o Service Pack 2. Já os usuários de Excel 2007, Excel 2003 e Service Pack 3 não estão em risco, esclarece a Microsoft.
Outro update em destaque é a correção MS08-015, que contempla uma falha facilmente explorada por crackers. Conforme informa o boletim de segurança da Microsoft, bastaria convencer a vítima a clicar em um link elaborado como um suposto e-mail, no Outlook Express, e o invasor poderia instalar programas, manipular e apagar dados ou até criar novas contas no lugar da vítima.
Estes tipos de bugs, que envolvem falhas em URI (Uniform Resource Identifier), têm sido constantemente estudados por hackers e especialistas em segurança por abrirem brechas para ataques bem-sucedidos via web.
Os dois outros pacotes de atualizações de março solucionam falhas no Office e nos controles ActiveX do Office Web Components, usados por programas como Office, BizTalk Server, Commerce Server e pelo Internet Security and Acceleration (ISA) Server.
