A Microsoft corrigiu seis vulnerabilidades relacionadas ao navegador Internet Explorer (IE) e ao software Visual Studio por meio de um pacote de segurança emergencial divulgado nesta terça-feira (28/7).

Três correções são voltadas a bugs críticos no IE e outras três corrigem falhas de gravidade média no Visual Studio - as atualizações são a MS09-034 e MS09-035. A Microsoft, contudo, deu pistas de que estas vulnerabilidades moderadas podem ser as mais sérias.

Isso ocorre, segundo pesquisadores, porque os bugs no Visual Studio envolvem o componente Active Template Library (ATL), usado tanto pela Microsoft quanto por desenvolvedores externos para criar controles ActiveX de seus aplicativos.

“A Microsoft recomenda que os desenvolvedores que criaram com o ATL avaliem imediatamente seus controles e sigam nosso caminho para criar componentes que não sejam vulneráveis”, diz o documento de segurança que detalha as correções.

A empresa lançou um site dedicado somente aos bugs relacionados ao ATL nesta terça-feira (28/7). E para proteger os usuários do Windows, a atualização MS09-034 bloqueia todos os ataques já conhecidos enquanto os componentes e controles vulneráveis estão sendo atualizados pelos desenvolvedores.

As correções voltadas ao navegador Internet Explorer não bloqueiam todos os controles ActiveX com falhas, admite o diretor do Security Response Center (MSRC) da Microsoft, Mike Reavey.

A atualização, contudo, verifica quais componentes estão usando métodos conhecidos para despertar os bugs e os bloqueia. A Microsoft apenas descreveu vagamente esta correção, classificando-a como uma “nova tecnologia de defesa”.

As correções podem ser instaladas pelos serviços Microsoft Update e Windows Update, além de serviços do Windows Server Update.