Problemas já podem ser explorados.
Próximo pacote de correções é no dia 11.
Outra falha foi revelada no dia 23 de dezembro, e outras duas esta semana. Duas vulnerabilidades estão diretamente no navegador; outra está no Windows e, a última, em um componente adicional, que deixa o IE vulnerável.
O problema mais grave foi o revelado dia 14. A falha existe em todas as versões do Internet Explorer com suporte (desde a versão 6, nos Windows XP, Vista e 7). A falha está no próprio navegador. A Microsoft recomenda o uso da ferramenta EMET para impedir que a vulnerabilidade seja explorada.
Outra falha grave está presente no componente de processamento gráfico do Windows, o GDI. Segundo a Microsoft, a falha não pode ser explorada por páginas de internet, mas pode ser explorada por e-mail com arquivos .doc ou PowerPoint anexados, por exemplo. A vulnerabilidade não existe nos Windows 7 e 2008 Server R2.
Uma das brechas só funciona caso o Kit administrativo do WMI esteja instalado no computador. A maioria dos usuários não deve estar vulnerável.
Confira, na tabela abaixo, as falhas graves no Internet Explorer e no Windows
Falha é divulgada por pesquisador do Google
A brecha mais recente foi divulgada indiretamente por um pesquisador do Google. Michael Zalewski criou uma ferramenta genérica para a identificação de falhas em navegadores de internet, chamada cross_fuzz. Em julho, ele alertou a Microsoft para possíveis problemas no navegador da empresa. A companhia pediu que Zalewski não lançasse a ferramenta por um prazo “indefinido”.
O pesquisador afirma que a empresa não informou quando a falha seria corrigida e, por isso, lançou a ferramenta mesmo assim. Brechas graves similares no Firefox e no Opera foram encontradas e os desenvolvedores corrigiram as mais sérias, segundo o especialista.
É a terceira vez que um pesquisador do Google divulga uma falha em um produto da Microsoft, embora tenham feito isso como indivíduos, e não como funcionários da gigante de buscas. Junto de Zalewski estiveram Tavis Ormandy e Chris Evans.
Brechas sem correção
Falhas sem correção são chamadas de falhas “dia zero”. O número zero é uma referência a quantos dias um código malicioso está disponível após o lançamento de uma solução. Um código malicioso que é disponibilizado no mesmo dia em que uma correção saiu é “dia um”. O zero indica que foi lançado antes da correção, ou seja, antes do dia um.
A empresa de segurança Vupen mantém uma lista de brechas não corrigidas pela Microsoft. Porém, as quatro divulgadas no IE e no Windows permitem a instalação de vírus (“execução de código”, no jargão técnico) e, por isso, são críticas.
fonte: http://g1.globo.com/tecnologia/noticia/2011/01/em-um-mes-quatro-brechas-graves-no-windows-e-ie-sao-reveladas.html
