O pacote de atualizações mensal da Microsoft, lançado nesta terça-feira (11), eliminou uma brecha que existe desde o Windows 95 original, lançado em agosto de 1995. A falha foi encontrada por pesquisadores do time de segurança X-Force da IBM e relatada à Microsoft em maio de 2014.
Segundo o pesquisador Robert Freeman, da IBM, o erro permite que um site na internet consiga executar códigos no PC caso a página seja acessada por qualquer versão do Internet Explorer desde a 3.0. O código vulnerável, porém, não pertence ao Internet Explorer, mas a um componente do Windows. “O código ‘bugado’ [com o erro] tem pelo menos 19 anos e é explorável remotamente há 18 anos. Olhando o código original de lançamento do Windows 95, ele está presente”, escreveu Freeman em um blog da companhia.
Apesar da falha ser bastante antiga, Freeman diz que os softwares da segurança da empresa, que desde maio podem detectar o ataque, não geraram nenhum alerta relacionado a ela. Isso indica que a vulnerabilidade provavelmente não era amplamente conhecida até sua correção. O pesquisador acredita, no entanto, que brecha passará a ser explorada de agora em diante, porque permite burlar recursos de segurança do Windows de maneira consistente.
A Microsoft corrigiu outras 32 vulnerabilidades no pacote mensal de novembro, 17 delas no Internet Explorer. O erro que permitia burlar a atualização da falha conhecida como “Sandworm”, que possibilita a inserção de código malicioso em arquivos do Power Point, também foi eliminado pela Microsoft.
As atualizações relevantes para a versão do Windows instalada são baixadas automaticamente se o sistema for configurado para fazê-lo no “Painel de Controle”. No entanto, versões do Windows que não têm mais suporte da Microsoft, como o Windows XP e anteriores, não receberam a atualização.
Fonte: http://g1.globo.com/tecnologia/noticia/2014/11/microsoft-corrige-brecha-que-ficou-no-windows-por-19-anos.html