Correção faz parte de pacote com três patches e que será liberado nesta terça-feira, 9/11; falha de 0-day do IE, no entanto, continuará aberta.
A Microsoft anunciou a liberação, na terça-feira (9/11), de
três atualizações de segurança esta semana, para consertar 11 vulnerabilidades –
incluindo a primeira do Office 2010, que foi classificada como “crítica”. O
recém-lançado Office for Mac 2011 também receberá sua primeira correção.
Apenas uma das três atualizações foi marcada como crítica, o
nível mais alto do sistema de classificação de riscos da Microsoft. As outras
atualizações foram marcadas como “importantes”, o segundo nível do sistema.
Duas delas se aplicam ao Office. A terceira afeta o
Forefront Unified Access Gateway 2010, plataforma de rede virtual privada (VPN)
da empresa. Ela permite que funcionários de uma empresa conectem seus PCs às
redes corporativas quando estão fora do escritório.
A atualização do Office 2010 foi a que mais chamou a atenção
de Andrew Storms, diretor de operações de segurança da nCircle Security. “Eu
não me surpreenderia nem um pouco se visse que, das 11 vulnerabilidades, dez
estão nas atualizações do Office”, disse Storms.
No entanto, o nível crítico das falhas do Office 2010
surpreendeu Storms. “Afinal, é a mais nova SKU, tem os mais novos formatos de
arquivo e a novíssima caixa de areia”, disse, referindo-se ao que a Microsoft
chama de “Protected View” (visão protegida) da nova suíte.
Aprovado pelos especialistas de segurança, a Protected View isola
os arquivos Word, Excel e PowerPoint em um ambiente aberto apenas para leitura –
e que previne a ação de malwares, uma praga que tem assombrado os documentos do
Office há anos.
Situação invertida
“As coisas estão de cabeça para baixo este mês”, disse
Storms. “Um dos boletins é classificado como ‘crítico’ para o Office 2010, a
versão mais nova, e apenas ‘importante’ para as outras versões”.
Normalmente ocorre o inverso. As edições mais antigas do
Office – incluindo o Office XP e o Office 2003 – estão sujeitas a mais falhas
que as versões mais novas, como o Office 2007 e o Office 2010.
A atualização de terça-feira para o Office 2010 será o
primeiro patch crítico para a suíte desde que foi lançada, em maio, e apenas a
segunda já emitida para o pacote. A Microsoft consertou uma vulnerabilidade
importante no mês passado, com a atualização MS10-079.
O patch de novembro também é significativamente menor que a
de outubro, quando a Microsoft corrigiu um recorde de 49 falhas, com um número
também recorde de 16 atualizações. A Microsoft tem seguido um calendário
alternado de atualizações ao liberar um maior número de patches em meses pares,
seguidos por pacotes mais magros nos meses ímpares.
Diversas questões importantes – e que foram reconhecidas
pela Microsoft em recentes boletins de segurança – permanecerão sem resposta,
pelo que informa a empresa em seu anúncio preliminar das correções de 9 de
novembro.
A Microsoft liberou o mais recente desses anúncios na
quarta-feira, quando confirmou que hackers vêm explorando um bug não corrigido
no Internet Explorer usando ataques drive-by.
“A boa notícia é que esta semana teremos apenas três
boletins de segurança”, disse Storms. “A má notícia é que ainda temos um caso
de vulnerabilidade 0-day no IE.”
Outros pesquisadores concordam com Storms.
Mais de um mês
“A Microsoft publicou instruções paliativas [para a vulnerabilidade
do IE], mas não acreditamos que ela vá lançar um patch específico. Por isso, a
correção deverá demorar mais de um mês para chegar”, disse Paul Henry, um
analista de segurança da Lumension. “É interessante notar que a Microsoft ainda
não acredita que a falha representa uma ameaça significativa, apesar de
informes de que ele tem sido constatado em campo.”
Storms e Henry destacaram que as atualizações desta semana
que serão lançadas pela Microsoft não são as únicas que empresas e consumidores
têm de enfrentar. Na quinta-feira (4/11), a Adobe lançou um patch para a falha
no Flash Player que foi reconhecida pela empresa na semana retrasada. Também na
quinta, a Google liberou uma atualização para o Chrome. E a Mozilla também
atualizou o Firefox recentemente.
A Microsoft deverá liberar as três atualizações de segurança
em 9 de novembro, às 13 horas no fuso horário do Leste dos EUA (16 horas no horário
brasileiro de verão).
