MENU

Microsoft lança em 9/11 primeira atualização 'crítica' para Office 2010

Microsoft lança em 9/11 primeira atualização 'crítica' para Office 2010

Atualizado: Segunda-feira, 8 Novembro de 2010 as 9:52

A Microsoft anunciou a liberação, na terça-feira (9/11), de três atualizações de segurança esta semana, para consertar 11 vulnerabilidades – incluindo a primeira do Office 2010, que foi classificada como “crítica”. O recém-lançado Office for Mac 2011 também receberá sua primeira correção.

Apenas uma das três atualizações foi marcada como crítica, o nível mais alto do sistema de classificação de riscos da Microsoft. As outras atualizações foram marcadas como “importantes”, o segundo nível do sistema.

Duas delas se aplicam ao Office. A terceira afeta o Forefront Unified Access Gateway 2010, plataforma de rede virtual privada (VPN) da empresa. Ela permite que funcionários de uma empresa conectem seus PCs às redes corporativas quando estão fora do escritório.

A atualização do Office 2010 foi a que mais chamou a atenção de Andrew Storms, diretor de operações de segurança da nCircle Security. “Eu não me surpreenderia nem um pouco se visse que, das 11 vulnerabilidades, dez estão nas atualizações do Office”, disse Storms.

No entanto, o nível crítico das falhas do Office 2010 surpreendeu Storms. “Afinal, é a mais nova SKU, tem os mais novos formatos de arquivo e a novíssima caixa de areia”, disse, referindo-se ao que a Microsoft chama de “Protected View” (visão protegida) da nova suíte.

Aprovado pelos especialistas de segurança, a Protected View isola os arquivos Word, Excel e PowerPoint em um ambiente aberto apenas para leitura – e que previne a ação de malwares, uma praga que tem assombrado os documentos do Office há anos.

Situação invertida

“As coisas estão de cabeça para baixo este mês”, disse Storms. “Um dos boletins é classificado como ‘crítico’ para o Office 2010, a versão mais nova, e apenas ‘importante’ para as outras versões”.

Normalmente ocorre o inverso. As edições mais antigas do Office – incluindo o Office XP e o Office 2003 – estão sujeitas a mais falhas que as versões mais novas, como o Office 2007 e o Office 2010.

A atualização de terça-feira para o Office 2010 será o primeiro patch crítico para a suíte desde que foi lançada, em maio, e apenas a segunda já emitida para o pacote. A Microsoft consertou uma vulnerabilidade importante no mês passado, com a atualização MS10-079.

O patch de novembro também é significativamente menor que a de outubro, quando a Microsoft corrigiu um recorde de 49 falhas, com um número também recorde de 16 atualizações. A Microsoft tem seguido um calendário alternado de atualizações ao liberar um maior número de patches em meses pares, seguidos por pacotes mais magros nos meses ímpares.

Diversas questões importantes – e que foram reconhecidas pela Microsoft em recentes boletins de segurança – permanecerão sem resposta, pelo que informa a empresa em seu anúncio preliminar das correções de 9 de novembro.

A Microsoft liberou o mais recente desses anúncios na quarta-feira, quando confirmou que hackers vêm explorando um bug não corrigido no Internet Explorer usando ataques drive-by.

“A boa notícia é que esta semana teremos apenas três boletins de segurança”, disse Storms. “A má notícia é que ainda temos um caso de vulnerabilidade 0-day no IE.”

Outros pesquisadores concordam com Storms.

Mais de um mês

“A Microsoft publicou instruções paliativas [para a vulnerabilidade do IE], mas não acreditamos que ela vá lançar um patch específico. Por isso, a correção deverá demorar mais de um mês para chegar”, disse Paul Henry, um analista de segurança da Lumension. “É interessante notar que a Microsoft ainda não acredita que a falha representa uma ameaça significativa, apesar de informes de que ele tem sido constatado em campo.”

Storms e Henry destacaram que as atualizações desta semana que serão lançadas pela Microsoft não são as únicas que empresas e consumidores têm de enfrentar. Na quinta-feira (4/11), a Adobe lançou um patch para a falha no Flash Player que foi reconhecida pela empresa na semana retrasada. Também na quinta, a Google liberou uma atualização para o Chrome. E a Mozilla também atualizou o Firefox recentemente.

A Microsoft deverá liberar as três atualizações de segurança em 9 de novembro, às 13 horas no fuso horário do Leste dos EUA.

veja também