Microsoft Patch Tuesday de Dezembro

Amanhã é dia de atualizações da Microsoft. Esta Patch Tuesday traz correções para 5 vulnerabilidades criticas que envolvem execução remota de software no Office, Internet Explorer, Exchange, Windows e Lync.

Desculpe, XP. Sem fix para você.

Desculpe, XP. Sem fix para você.

[ Editado em 10/12/13 – A Microsoft liberou o fix para o CVE-2013-3906, então é uma boa notícia para os usuários de XP que finalmente vão poder fechar este zero-day. ]

Aparentemente a atualização deixará de fora a vulnerabilidade CVE-2013-3906, que afeta o Windows XP e o Office 2003 e 2007. Esta vulnerabilidade envolve execução de código via arquivos de imagem TIFF especialmente preparados e vem sendo ativamente explorada na internet, o que gerou uma janela de exposição para estes sistemas de várias semanas agora. Na falta de um fix definitivo, os usuários devem aplicar o workaround disponibilizado pelo fabricante.

Isto chama a atenção para duas questões:

  • O Windows XP está se aproximando do final da vida útil e, mesmo antes do prazo de  abril de 2014, parece que o empenho da Microsoft em garantir atualizações de segurança começa a esmaecer.
  • A velha orientação aos usuários de não abrir anexos “potencialmente perigosos” como executáveis e scripts se mostra cada vez menos eficaz, já que até arquivos de imagem podem ser utilizados para enviar malware. Isto requer usuários mais sofisticados e recursos de segurança da organização melhor preparados para lidar com estes eventos.