A Microsoft informou nesta segunda-feira (29/3) que irá publicar uma atualização de emergência para o Internet Explorer com o objetivo de corrigir uma vulnerabilidade de dia zero que tem sido usada para conduzir ataque nas últimas semanas.

O Patch Tuesday desta terça-feira (30/3) é a segunda nos últimos três meses que a empresa faz e que foge ao seu calendário normal de correções, que acontece na segunda terça-feira de cada mês. Em janeiro, a Microsoft publicou uma correção no IE para corrigir oito vulnerabilidades, incluindo uma que vinha sendo usada para atacar a rede de empresas, incluindo o Google e a Adobe.

“Este boletim está sendo liberado para endereçar ataques contra clientes das versões 6 e 7 do Internet Explorer”, informou a empresa no blog do Technet.

E, como em janeiro, a atualização de amanhã irá corrigir apenas a vulnerabilidade de dia zero. Na realidade, ela irá tapar alguns buracos cruciais existentes em todas as versões do navegador, incluindo a mais recente, o IE8. “Este boletim não programado é uma atualização cumulativa de segurança para o Internet Explorer e também irá corrigir vulnerabilidades consideradas críticas em todas as versões do navegador que não estão relacionadas a este ataque”, informou a empresa.

A Microsoft alertou os usuários sobre a vulnerabilidade do IE6 e IE 7 em 9/3, informando, na época, que o bug não afetava nem a versão mais antiga (IE5) nem a mais recente do navegador (IE8). A empresa informou que os ataques eram direcionados, termo usado para designar ações em pequena escala.

Em apenas dois dias, crackers utilizaram a falhar para conduzir ataques a partir de sites maliciosos e um pesquisador israelense publicou o código de exploração da vulnerabilidade na web.

O anúncio de hoje pegou muitos pesquisadores de surpresa. “Pensei que fosse levar mais tempo”, afirmou a chefe tecnologia de segurança da Qualys, Wolfgang Kandek. “Mas, ao divulgar a correção agora, a Microsoft sugere existir um razão muito forte para não aguardar até o próximo Patch Tuesday [13/4]. É provável que eles tenham notado um aumento no número de ataques”.

O diretor de segurança de operações da nCircle Network Security, Andrew Storms, concorda. “Não estava esperando por isso, ainda mais porque Microsoft emitiu o aviso a menos de um mês. Eles não alteram seu calendário salvo quando há uma razão muito forte para isso”.

Como Kandek, Storms entende que a Microsoft acelerou a liberação desta atualização cumulativa do IE porque deve ter percebido um aumento no número de ataques explorando a vulnerabilidade de dia zero.

Storms acredita que a Microsoft pode corrigir ainda outras vulnerabilidades no navegador, levando em conta os recentes alertas de segurança emitidos este ano. Em fevereiro, a Microsoft informou sobre um bug no IE rodando no Windows XP que poderia ser usado por criminosos virtuais para acessar arquivos no PC; e, no início deste mês, a empresa pediu para usuários do XP não pressionarem a tecla F1 (auxílio) quando solicitada por qualquer site, indicando uma falha ainda não corrigida que poderia abrir o computador para o controle de crackers.

A atualização do Internet Explorer desta terça-feira (30/3) se aplica a todas as versões do navegador – IE 5.01; IE 6; IE 7 e IE 8 – rodando em todas as versões do Windows 2000, XP, Vista, Server 2003, Server 2008, Windows 7 e Server 2008 R2.

Caso siga seu ritual, a correção será liberada pela Microsoft por volta das 17h.