Tweet
Por Computerworld/ EUA
Publicada em 06 de agosto de 2009 às 19h51
Componente Active Template Library é usado pela Microsoft e por desenvolvedores externos para criar controles ActiveX de seus aplicativos.
A Microsoft, desenvolvedora norte-americana de softwares, informou nesta quinta-feira (6/8) que divulgará nove pacotes de segurança na próxima terça-feira (11/8) por meio de sua atualização mensal Patch Tuesday.
Cinco das atualizações são consideradas "críticas" pela classificação da Microsoft, e quatro "importantes". O sistema da empresa possui quatro níveis que classificam a gravidade das falhas, sendo que as "críticas" são consideradas as mais perigosas para o usuário.
Oito pacotes de segurança são voltados a diversas versões do sistema operacional Windows. O outro pacote corrige vulnerabilidades no pacote de aplicativos Office, no Visual Studio, Internet Security and Acceleration Server (ISA Server), BizTalk Server e outros produtos.
Uma das oito atualizações para o Windows também afeta o que a notificação da companhia chamou de “Client for Mac”, referindo-se quando usuários do sistema operacional da Apple utilizam o software Remote Desktop Connection Client for Mac que permite a conexão a máquinas com o Windows.
“Este não será um mês para cochilarmos”, afirmou o diretor de segurança Andrew Storms, da nCircle Network Security. “O positivo é que não estamos de frente com muitas falhas de domínio público”.
Entre os pacotes, um deles parece ter como alvo o único bug não resolvido que a Microsoft reconheceu publicamente: uma falha no componente web nos programas do Office.
No mês passado, a empresa informou sobre a vulnerabilidade relacionada ao Office e um controle ActiveX, usado pelo Internet Explorer para exibir planilhas do Excel, e disse que ela já estava sendo explorada.
Segundo Storms, é possível que a Microsoft também corrija alguns programas com falhas ligadas ao componente Active Template Library (ATL). O pesquisador aposta que o bug tem a ver com um “&” em excesso incluso por um programador.
O componente é usado tanto pela Microsoft quanto por desenvolvedores externos para criar controles ActiveX de seus aplicativos. A Adobe corrigiu o Flash Player e o Shockwave Player que usavam o ATL com problema. Na semana passada, a Microsoft corrigiu falhas no Internet Explorer e Visual Studio, que tinham ligação com o componente.
A falha no software para Mac também pode ter relação com o ATL. “Me pergunto se eles irão corrigir programas relacionados ao código durante todo o mês”, disse Storms.
Quanto às atualizações para o Windows, é impossível especificá-las. “Parece que eles corrigirão partes do núcleo do sistema. Nos preocupamos mais, às vezes, quando a correção diz respeito ao Windows, pois se houver algum problema com ela, o usuário poderá ver a ‘Tela Azul da Morte’”, explica.
Gregg Keizer, do Computerworld
Publicada em 06 de agosto de 2009 às 19h51
Componente Active Template Library é usado pela Microsoft e por desenvolvedores externos para criar controles ActiveX de seus aplicativos.
A Microsoft, desenvolvedora norte-americana de softwares, informou nesta quinta-feira (6/8) que divulgará nove pacotes de segurança na próxima terça-feira (11/8) por meio de sua atualização mensal Patch Tuesday.
Cinco das atualizações são consideradas "críticas" pela classificação da Microsoft, e quatro "importantes". O sistema da empresa possui quatro níveis que classificam a gravidade das falhas, sendo que as "críticas" são consideradas as mais perigosas para o usuário.
Oito pacotes de segurança são voltados a diversas versões do sistema operacional Windows. O outro pacote corrige vulnerabilidades no pacote de aplicativos Office, no Visual Studio, Internet Security and Acceleration Server (ISA Server), BizTalk Server e outros produtos.
Uma das oito atualizações para o Windows também afeta o que a notificação da companhia chamou de “Client for Mac”, referindo-se quando usuários do sistema operacional da Apple utilizam o software Remote Desktop Connection Client for Mac que permite a conexão a máquinas com o Windows.
“Este não será um mês para cochilarmos”, afirmou o diretor de segurança Andrew Storms, da nCircle Network Security. “O positivo é que não estamos de frente com muitas falhas de domínio público”.
Entre os pacotes, um deles parece ter como alvo o único bug não resolvido que a Microsoft reconheceu publicamente: uma falha no componente web nos programas do Office.
No mês passado, a empresa informou sobre a vulnerabilidade relacionada ao Office e um controle ActiveX, usado pelo Internet Explorer para exibir planilhas do Excel, e disse que ela já estava sendo explorada.
Segundo Storms, é possível que a Microsoft também corrija alguns programas com falhas ligadas ao componente Active Template Library (ATL). O pesquisador aposta que o bug tem a ver com um “&” em excesso incluso por um programador.
O componente é usado tanto pela Microsoft quanto por desenvolvedores externos para criar controles ActiveX de seus aplicativos. A Adobe corrigiu o Flash Player e o Shockwave Player que usavam o ATL com problema. Na semana passada, a Microsoft corrigiu falhas no Internet Explorer e Visual Studio, que tinham ligação com o componente.
A falha no software para Mac também pode ter relação com o ATL. “Me pergunto se eles irão corrigir programas relacionados ao código durante todo o mês”, disse Storms.
Quanto às atualizações para o Windows, é impossível especificá-las. “Parece que eles corrigirão partes do núcleo do sistema. Nos preocupamos mais, às vezes, quando a correção diz respeito ao Windows, pois se houver algum problema com ela, o usuário poderá ver a ‘Tela Azul da Morte’”, explica.
Gregg Keizer, do Computerworld
Comment