A Microsoft lançou um Patch de segurança para junho as pressas e pediu que os usuários apliquem as atualizações o mais rápido possível em seu sistema operacional.
De acordo com a fabricante do Windows, 50 novas falhas foram corrigidas, entre elas estão 6 bugs considerados graves que estão sendo explorados por invasores.
A falha de codinome "CVE-2021-33742" é considerada uma das mais graves, pois permite a execução remota de código por meio da plataforma Windows MSHTML.
O bug foi encontrado em plataformas desktop e servidores a partir do Windows 7 e vem com um Sistema de Pontuação de Vulnerabilidade Comum (CVSS) de 7,5.
A falha é explorada por meio de uma página web com código malicioso ou algum arquivo com código arbitrário aberto e analisado por MSHTML.
De acordo com a Micorsoft, MSHTML é uma interface IWebBrowswer2 "usada pelo modo Internet Explorer no Microsoft Edge e também por outros aplicativos por meio do controle WebBrowser".
Shane Huntley, diretor do Grupo de Análise de Ameaças do Google, disse que uma "empresa de exploração comercial" pode estar ligada a esta vulnerabilidade.
As outras cinco falhas são classificadas como importantes, quatro delas exploram a elevação de privilégios e uma pode ser explorada para roubar informações.
Vulnerabilidades como essas são muito exploradas por cibercriminosos que procuram espalhar malwares na rede após uma invasão inicial.
Além destas falhas críticas, uma vulnerabilidade adicional de negação de serviço do Windows 7 foi divulgada publicamente, a Microsoft deu o codinome de "CVE-2021-31968".
Esta falha explora os Serviços de Área de Trabalho Remota do sistema operacional. Mas, de acordo com a fabricante, ela ainda não foi explorada em liberdade.
No entanto, a Microsoft recomendou que os usuários atualizassem seu sistema o mais rápido possível. Ao todo, cinco das 50 falhas são críticas, embora estejam em áreas de alto valor que os criminosos adorariam explorar.
Outro problema crítico está no Microsoft Defender, mas ele pode ser corrigido automaticamente, assim como a falha crítica dos codecs VP9 da Microsoft Store. Os outros precisarão de patch, avisou Dustin Childs da ZDI.
Via: The Register