A Microsoft publicou um novo boletim de segurança fora de banda hoje que informa sobre uma vulnerabilidade crítica de segurança recentemente detectada no navegador Internet Explorer da empresa.
A vulnerabilidade, que já é explorada em liberdade segundo a empresa, afeta o Internet Explorer 7 a 11 em sistemas operacionais cliente e servidor. Microsoft Edge, o navegador padrão do Windows 10, não está listado na página e, portanto, não é afetado pela vulnerabilidade.
A vulnerabilidade é classificada como crítica para todos os sistemas operacionais clientes e moderada para todos os sistemas operacionais de servidor da empresa.
A Microsoft lançou patches para todas as versões afetadas (e com suporte) do Windows. Esses patches já estão disponíveis por meio do Windows Update e do Centro de Download da Microsoft.
A atualização está listada como "atualização cumulativa para Windows 10 (KB3081444)" para sistemas Windows 10 e listada com o código KB3087985 em versões anteriores do Windows. A atualização KB3078071 é um pré-requisito para essa atualização no Windows 8.1 e 7 e Windows Server 2008 R2 e 2012 R2.
Os invasores podem explorar a vulnerabilidade por vários meios, por exemplo, criando páginas da web que exploram a vulnerabilidade, e-mails em HTML ou anúncios na web. Tudo o que é necessário para acionar a vulnerabilidade é que esses conteúdos sejam carregados em uma versão afetada do Internet Explorer, uma interação com o site não é necessária além disso.
Os invasores ganham os mesmos direitos que o usuário atual no sistema. Se o usuário conectado tiver direitos administrativos, uma tomada completa do sistema é possível, pois isso permitiria ao invasor modificar as configurações do sistema, criar ou modificar contas de usuário, instalar ou remover software e muito mais.
A Microsoft menciona dois fatores atenuantes no comunicado de segurança. Um nível de usuário não administrativo do usuário conectado pode impactar o efeito no sistema. Além disso, o Microsoft EMET, o Enhanced Mitigation Experience Toolkit da empresa, ajuda a mitigar o ataque de acordo com a Microsoft, desde que seja configurado corretamente para funcionar com o navegador Internet Explorer.
Links de download para todos os sistemas operacionais suportados estão listados na página do boletim de segurança no site da Microsoft. Para baixar a atualização manualmente, localize a versão instalada do Internet Explorer no software afetado e clique no link ao lado do sistema operacional em que o computador está sendo executado.
Este é o segundo patch de emergência lançado nas últimas semanas. A Microsoft lançou o boletim MS15-078 no final de julho para todos os sistemas operacionais com suporte que abordam uma vulnerabilidade crítica no driver de fonte da Microsoft.