O Boletim de Segurança Microsoft nº MS07-004 publicado hoje, Vulnerability in Vector Markup Language Could Allow Remote Code Execution (929969), alerta sobre uma nova vulnerabilidade de segurança descoberta pela Microsoft, que afeta todos os usuários das versões suportadas de Windows (2000, XP e 2003) e de Internet Explorer (5, 6 e 7).
Para todos os sistemas suportados, já existe atualização crítica disponível que corrige o problema e a Microsoft recomenda a atualização imediata por todos os usuários. Quem tem a Atualização automática do Windows ativada — medida altamente recomendada a todos — já deve ter recebido hoje mesmo a atualização em seu computador, garantindo sua segurança o quanto antes.
A falha, existente na implementação da Microsoft do mecanismo para Linguagem de Marcação Vetorial — Vector Markup Language (VML) — em Windows potencialmente permitiria que um atacante mal-intencionado a explorasse para conseguir executar código remoto, se um usuário visualizasse uma página Web ou mensagem eletrônica especialmente preparada. Se bem sucedido, o atacante poderia tomar o controle completo do sistema afetado.
É um tipo de falha na programação de ocorrência relativamente comum e difícil de se detectar, principalmente em sistemas grandes e complexos, cheios de componentes, módulos e recursos. Porém, pode ter conseqüências graves como ameaça à segurança do sistema instalado. Algumas vezes, tal falha pode ser igualmente difícil de se explorar com sucesso, por malfeitores.
A Microsoft agradeceu o trabalho de Jospeh Moti trabalhando no Programa de Contribuição iDEFENSE Labs — entidade que oferece desafios premiados para pesquisadores independentes encontrarem vulnerabilidades de segurança em sistemas — que reportou a vulnerabilidade de estouro de buffer no VML (CVE-2007-0024).
Grave ou não, o fato é que a falha foi prontamente corrigida pela Microsoft, após reportada, e a solução para se proteger é simples: aplicar (sempre) as devidas atualizações críticas do Windows.
Se você utiliza Microsoft Windows, certifique-se que as Atualizações Automáticas estão ativadas. No Windows XP e 2003, esta opção pode ser encontrada em Painel de Controle » Central de Segurança » Atualizações automáticas.