A Microsoft consertou nesta terça-feira (8/12) nada menos que 12 vulnerabilidades do Windows, do Office e do Internet Explorer (IE), incluindo três bugs críticos da última versão de seu navegador, o IE8.

Das 12 falhas corrigidas em seis atualizações de segurança divulgadas hoje, sete são consideradas “críticas”, o mais alto nível de severidade no sistema de quatro níveis seguido pela Microsoft. Quatro das falhas remanescentes foram classificadas como “importantes”, um passo abaixo da escala; a última vulnerabilidade foi chamada de “moderada”.

Pesquisadores em segurança votaram unanimamente no MS09-072, o pacote de cinco correções para IE, como o que exige atenção urgente.

“Este é certamente aquele a seguir”, diz Andrew Storms, diretor de operações de segurança da nCircle Network Security. “Quando se trata do IE, você nunca irá prestar atenção suficiente. Este se destaca.”

Vitrine de ataques
Richie Lai, diretor de pesquisa de vulnerabilidade na empresa de segurança Qualys, concorda com Storms. “O MS09-072 afeta o IE, que é uma grande vitrine para ataques”, disse Lai, “e as vulnerabilidades são as primeiras a serem exploradas por ataques clássicos do tipo drive-by”.

“Definitivamente, dê uma olhada nessa aí”, disse Jason Miller, o gerente da equipe de segurança e dados da empresa de gerenciamento de correções Shavik Technologies. “Os ataques via browser são os mais explorados de todos os ataques”.

Uma das cinco correções incluídas nessa atualização do IE diz respeito à vulnerabilidade do dia zero, que foi confirmada pela Microsoft no mês passado depois que um código-exemplo do ataque, que explorava a falha no analisador de layout do IE, veio a público.