As principais notícias de segurança desta semana envolveram a Adobe e a Microsoft. Pesquisadores descobriram arquivos explorando uma falha grave no Adobe Acrobat, ainda sem correção. E, também nesta semana, a Adobe lança uma atualização de segurança para o Flash. Já a Microsoft, enquanto lançou uma pacote consertando um erro no AutoRun, teve que publicar um alerta sobre uma nova falha -- também sem correção -- do Microsoft Excel.
>>>> Adobe deixa usuários sem solução para falha no Acrobat
Pesquisadores da Shadowserver Foundation divulgaram ainda na semana passada descoberta a respeito de PDFs maliciosos explorando uma falha no Acrobat e no Acrobat Reader, da Adobe. Desde então, empresas de segurança como a Symantec afirmaram ter conhecimento sobre os mesmos ataques e que a brecha pode ter sido utilizada já em dezembro. Até agora, a Adobe não lançou uma atualização, nem sugeriu qualquer método eficaz para contornar o problema.
A vulnerabilidade está sendo utilizada em ataques direcionados a alvos específicos, especialmente empresas. Por meio dela, um atacante pode enviar um e-mail contendo um anexo em PDF que, ao ser aberto, infecta o computador da vítima. O formato PDF é normalmente seguro e não contém código malicioso, a não ser em casos de falha de segurança, como esse.
Embora os especialistas do Shadowserver tenham sugerido a desativação de Javascript no Acrobat Reader para contornar o problema temporariamente, essa mudança de configuração não elimina a falha. Pesquisadores da empresa de segurança Secunia conseguiram criar um PDF malicioso capaz de explorar a brecha sem fazer uso de Javascript.
A resposta da Adobe ao caso chegou na forma de um alerta publicado no site da empresa, em que é informada uma previsão de lançamento da atualização: 11 de março para Acrobat 9 e 18 de março para os mais antigos. O documento também sugere a desativação do Javascript, mas admite que esse procedimento não é 100% eficiente.
Enquanto nenhuma atualização é lançada, o ideal é evitar abrir arquivos PDF com o software da Adobe. Leitores de PDF alternativos como o FoxIt Reader não são afetados pelo problema.
>>>> Adobe corrige falha no Flash
Enquanto a equipe do Acrobat deixa os usuários do programa sem nenhuma solução ou informação, o Flash Player recebeu essa semana uma correção de segurança para eliminar cinco falhas, entre elas um problema inicialmente comunicado à Adobe, de maneira particular, em agosto do ano passado.
O boletim da Adobe considera os problemas “críticos”, pois permitem que malfeitores criem arquivos SWF, do Flash, capazes de infectar o sistema de quem os abrir -- o que normalmente não é possível.
Erros no Flash são graves porque o plugin está instalado na maioria dos sistemas usados para navegar na web. Além disso, a exploração de uma brecha no Flash pode ser feita por meio de sites legítimos via anúncios publicitários.
>>>> Ziff Davis veicula anúncio publicitário malicioso
Um anúncio publicitário malicioso foi veiculado esta semana em alguns sites da Ziff Davis, entre eles o portal de tecnologia eWeek.com, segundo informações da própria Ziff Davis e da empresa de segurança Websense. O caso se torna mais um entre tantos exemplos de sites legítimos que acabaram transmitindo conteúdo malicioso.
Os anúncios maliciosos usavam uma falha antiga no Adobe Acrobat, sem relação com o problema ainda sem correção descrito acima. Nos casos em que o erro era explorado com sucesso, o usuário era infectado com uma praga digital que promovia um antivírus fraudulento.
>>>> Criminosos exploram brecha sem correção no Microsoft Excel
A Microsoft confirmou na terça-feira (24) que uma nova brecha no Microsoft Excel, da suíte de escritório Office, está sendo explorada por criminosos. O erro permite que planilhas abertas no programa acabem infectando o computador da vítima. Por ainda não ter correção, a vulnerabilidade é considerada “dia zero”.
As versões do programa afetadas, segundo informações da Microsoft, são a 2000, 2002, 2003 e 2007. O conversor de arquivos do Office, para Macintosh, também é vulnerável, bem como o Excel Viewer e as versões do 2004 e 2008 para Mac.
Para contornar o problema, a Microsoft sugere o uso do MOICE, um utilitário que converte arquivos antigos do Office para o formato de XML adotado na versão 2007. Para isso é preciso fazer download de um pacote e seguir as instruções divulgadas no alerta. Com o uso do MOICE, os arquivos são convertidos antes de abertos, garantindo que códigos maliciosos não sejam transmitidos para o arquivo final.
Embora exista a possibilidade de que a Microsoft lance uma atualização antes, em regime de urgência, o mais provável é que a falha seja corrigida apenas no dia 10 de março. A Microsoft sempre lança atualizações de segurança na segunda terça-feira útil do mês que, em março, cairá no dia 10.
>>>> Microsoft corrige erro em configuração do AutoRun
Buscando orientar usuários e administradores a protegerem seus sistemas contra a praga digital Conficker, o grupo de segurança US-CERT sugeriu a desativação do recurso de AutoRun, que dificulta a disseminação de vírus em pendrives -- um dos meios de infecção usados pelo Conficker. Ao estudar maneiras de mudar essa configuração, o grupo descobriu que o Windows não desativava o AutoRun corretamente no dia 20 de janeiro. Esta semana o problema foi finalmente corrigido pela Microsoft.
O erro não foi considerado um problema de segurança -- ele não estará em um boletim. Mas a correção, além de estar disponível como anexo de um artigo na base de conhecimento (http://support.microsoft.com/kb/967715) da Microsoft, também está sendo distribuído pelo Windows Update.
Altieres Rohr*
Especial para o G1
0 comentários:
Postar um comentário