Atualização da Microsoft corrige falha crítica do Internet Explorer

Nesta terça-feira (12) a Microsoft disponibilizou uma atualização que corrigia diversos problemas de segurança em seus programas, inclusive uma vulnerabilidade existente no Internet Explorer desde o lançamento do produto, e uma no Exchange Server, que foi descoberta no mês passado.

No IE, a vulnerabilidade conhecida pelo código CVE-2019-0676, permitia que, ao levar os usuários para sites maliciosos, um invasor pudesse procurar por arquivos específicos armazenados no HD da máquina — como pacotes de senhas salvas no Chrome, por exemplo. Essa vulnerabilidade afetava tanto o Internet Explorer 10 quanto o 11, e havia sido descoberta por membros do time de pesquisa de vulnerabilidades da Google, o Project Zero e, segundo a Microsoft, já estava sendo utilizada por cibercriminosos ao redor do mundo.

Já o problema no Exchange Server, indexado com o código CVE-2019-0686, permitia que um usuário remoto que tivesse uma conta de e-mail básica conseguisse invadir o servidor e ganhar controle sobre a máquina como se fosse um dos administradores do sistema. A vulnerabilidade foi descoberta no mês passado, e a Microsoft foi alertada do problema junto com um código que provava como ela poderia ser explorada. Ao contrário do que aconteceu com o IE, a Microsoft garantiu que ainda não havia encontrado ninguém que havia usado essa vulnerabilidade, mas que as chances de isso acontecer caso o problema não fosse rapidamente solucionado eram bem prováveis.

Além das duas aplicações, a atualização da terça trouxe também correções para o Edge, Windows, Office, .NET Framework, Visual Studio, Visual Studio Code, Azure IoT SDK, Microsoft Dynamics e Team Foundation Server. Ao todo, foram corrigidas mais de 70 vulnerabilidades, sendo que 20 delas eram consideradas de nível crítico.