On Spor

Muitos, inclusive este colunista, já esperavam por uma atualização emergencial para o Internet Explorer devido ao problema de segurança conhecido desde o dia 9 de março. Usuários do IE nas versões 6 e 7 estavam vulneráveis. Embora a instalação do IE8 fosse uma solução, já é de praxe o lançamento de atualizações emergenciais para brechas no Internet Explorer, pois elas são muito utilizadas por hackers para infectar os internautas que visitam páginas maliciosas ou páginas legítimas que foram invadidas. Essa atualização “fora de hora” para o navegador veio esta semana, eliminando um total de dez vulnerabilidades.
Também no resumo de notícias de hoje: pesquisador descobre falha no formato de arquivo PDF; Apple corrige 88 brechas no MacOS X, 16 no QuickTime e 7 no iTunes.

Microsoft lança correção de emergência para o Internet Explorer
A Microsoft disponibilizou na terça-feira (30) uma atualização de emergência para o navegador Internet Explorer. Dez problemas de segurança são corrigidos, entre eles a falha anunciada no dia 9 de março e que já estava sendo explorada por criminosos na web.

A atualização é considerada “emergencial” porque foi lançada fora do cronograma da Microsoft. As últimas correções de segurança foram lançadas no dia 9 de março e a próxima não deveria chegar antes do dia 13 de abril – a segunda terça-feira do mês. No entanto, a gravidade do problema forçou a Microsoft a providenciar a disponibilização da solução.
A falha que já estava em uso por hackers permite execução de códigos, ou seja, instalação de vírus, simplesmente ao abrir uma página com o Internet Explorer nas versões 6 e 7. O Internet Explorer 8 não sofre do problema.
É a segunda vez que a Microsoft lança uma atualização emergencial este ano. A outra também estava relacionada com um problema no Internet Explorer que havia sido usado nos ataques ao Google.
Outras nove falhas são eliminadas pela atualização. As versões do IE afetadas por cada brecha variam, mas há vulnerabilidades corrigidas em todas as versões suportadas do Internet Explorer.
A atualização pode ser aplicada por meio do Microsoft Update ou, preferencialmente, pelas atualizações automáticas do próprio Windows, configuráveis no Painel de Controle.

Pesquisador descobre falha no formato de arquivo PDF
Não é raro que apareçam brechas na função de um programa ao abrir um arquivo. É mais raro, porém, que uma brecha seja descoberta no próprio formato do arquivo, atingindo mais de um software e que talvez necessite de mudanças na maneira que os programas lidam com aquele arquivo. O pesquisador Didier Stevens fez exatamente isso com o formato PDF, que é muito usado para troca de documentos. Stevens utilizou comandos do próprio PDF que lhe permitiram executar um comando.

No Adobe Reader, o usuário ainda recebe um aviso a respeito do programa que será executado. No Foxit Reader, nenhum aviso aparece.
Stevens opina que o problema não pode ser “corrigido”. “Não estou usando nenhuma vulnerabilidade, apenas estou sendo criativo com as especificações do formato PDF”, escreveu o pesquisador em seu blog.
O especialista criou um arquivo PDF para provar que sua técnica funciona e já o divulgou publicamente. Stevens informou que a questão foi levada à Adobe e à Foxit Software. A Foxit disse estar preparando uma solução. A Adobe ressaltou que o programa já exibe uma caixa de aviso devido à função ser “poderosa”.
As empresas não comentaram se é realmente necessário que o PDF, um formato de arquivo para documentos, precisa ser tão poderoso ao ponto de executar programas no computador do usuário.
Discussões na web apontam que a técnica já era conhecida por especialistas em testes de segurança. Aliada à engenharia social – para enganar a vítima e convencê-la a autorizar o aviso, se é que alguém vai lê-lo -, o problema pode permitir que um documento PDF seja facilmente usado na realização de ataques, independentemente do software usado para abrir o arquivo.

Apple corrige 88 brechas no MacOS X, 16 no QuickTime e 7 no iTunes
A semana trouxe um pacotão de remendos para usuários de softwares da Apple. A atualização do MacOS X 10.6.3 elimina nada menos que 88 brechas, sendo um dos maiores pacotes de correção já lançados pela empresa. Uma atualização do QuickTime que elimina 7 falhas, algumas delas críticas, e outra para o iTunes, corrigindo outras 7 vulnerabilidades, também foram lançadas.

O número de falhas corrigidas nas atualizações do MacOS X é sempre muito maior que a corrigida por atualizações da Microsoft. Isso porque a Apple também redistribui atualizações de segurança para componentes de terceiros que são incluídos no sistema, como Apache, vim e ClamAV. Componentes mantidos pela própria empresa, como o servidor do iChat e o programa Mail, porém, também receberam remendos.
O QuickTime funciona também no Windows, e quem possui o programa deve atualizá-lo imediatamente. Isso porque o QuickTime se integra ao navegador web para realizar exibição de vídeos na web. Vulnerabilidades no QuickTime podem ser exploradas por sites na web, portanto, o que facilita bastante a infecção: é mais fácil ser convencido a clicar em um link para ver um site do que baixar e abrir um vídeo.