Nesta semana a Microsoft lançou correções para diversos bugs do Windows e do IE, no seu ciclo de atualizações que já esperado a cada dois meses. As falhas corrigidas são consideradas críticas, afetando principalmente várias versões do IE e o sistema de DNS do Windows Server.
No boletim MS11-057 estão detalhes dos problema com o Internet Explorer em suas versões 6, 7, 8 e até o 9. Esta é a segunda grande falha do IE9, que teve uma corrigida em junho. O problema corrigido agora refere-se à execução remota de código, em que é possível rodar código como usuário local apenas pelo fato de acessar um site malicioso usando o IE. Não há relatos de sites explorando essa falha recente, mas o problema existe e é bem real.
Outro boletim, também da terça-feira, trata do Windows Server. Naturalmente algo mais crítico, já que ele é um produto destinado a empresas.
O ambiente para exploração da falha não é tão comum, mesmo assim o ataque é bastante grave pois se dá no servidor DNS do Windows, que é ativado em quase todas as instalações do Windows Server. Um ataque poderia ser feito registrando um domínio qualquer, criando um record do tipo NAPTR e enviando uma query NAPTR específica para o servidor. A maioria dos clientes devem ter o recurso de atualização automática ativado, então esses problemas não deverão causar danos daqui para frente.
Por fim, um grande problema também foi encontrado e corrigido no subsistema de TCP/IP do Windows, afetando várias versões do Vista e 7, Server 2008 e 2008 R2. Detalhes estão no boletim MS11-064.
Esse ataque é de negação de serviço (DoS). Ele pode ser feito com sucesso enviando uma sequencia de mensagens maliciosas para o ICMP (Internet Control Message Protocol) ou uma requisição de URL para um servidor web Windows com QoS baseado em URL ativado. Apesar de estar presente nas versões para desktops/workstation o grande problema dessa falha se dá justamente nos servidores.
É curioso que o tipo de falha pode causar o reinício automático do servidor, lembrando bugs da década de 90, como o “ping da morte”. Esse tipo de ataque não rouba dados (diferente do que é possível com execução remota de código), serve basicamente para derrubar o servidor.
Manter ativada a opção de atualizações automáticas é a melhor forma de garantir a instalação de correções como essas sem preocupação com instalação manual.
Esta postagem foi modificada pela última vez em 12/08/2011 17:53