Boletins de Segurança de Novembro de 2007

Em novembro a Microsoft divulgou duas atualizações de segurança, dos quais apenas um tem severidade crítica. Trata-se de um problema com a validação de URIs enviadas pelo Internet Explorer 7 do Windows XP e 2003 para o shell do Windows, que está sendo ativamente explorada em ataques na Internet. O Windows 2000 (por não ter o IE7) e Windows Vista (por tem uma arquitetura de shell diferente) não são vulneráveis.

Note que esta vulnerabilidade não tem relação com a falha de segurança do Firefox encontrada em junho desse ano, que era causada pela validação incorreta de parâmetros do manipulador de protocolos firefoxurl: pelo Firefox e atingia todas as versões do IE e todas as versões do Windows. A correção MS07-061 divulgada ontem conserta um outro problema, descoberto em julho e exclusivo do IE 7, e que atinge todos os manipuladores de protocolos.

Já o boletim MS07-062 corrige um problema na geração nos números de transação (transaction ID) no servidor DNS da Microsoft, o que facilita ataques do tipo DNS poisoning. A correção se aplica tanto para o Windows 2000 Server como para Windows Server 2003.

O quadro acima resume as características do boletins desse mês (clique para ampliar).