Cuidado: Seu PC Windows pode ser invadido apenas visitando um site

Vulnerabilidades críticas no windows.

Você pode ser hackeado apenas clicando em um link malicioso ou abrindo um site? – SIM.

A Microsoft acaba de lançar as atualizações de segurança no patch dessa terça feira do mês de abril, onde corrigem várias vulnerabilidades críticas em seus sistemas operacionais Windows e outros produtos, cinco das quais poderiam permitir que um invasor hackeasse seu computador apenas direcionando sua visita a algum site.

A Microsoft corrigiu cinco vulnerabilidades críticas no Windows Graphics Component (Componentes Gráficos do Windows) que acontecem devido ao manuseio inadequado de fontes incorporadas pela biblioteca de fontes do Windows e afeta todas as versões dos sistemas operacionais Windows até o momento, incluindo o Windows 10/8.1/RT 8.1/7 e Windows Server 2008/2012/2016.

Um invasor pode explorar esses problemas enganando um usuário, fazendo com que abra um arquivo ou um site, especialmente criado com a fonte maliciosa. Assim, quando aberto em um navegador, entregaria o controle do sistema afetado ao invasor.

Todas essas cinco vulnerabilidades no Windows Microsoft Graphics foram descobertas e divulgadas com a responsabilidade de Hossein Lotfi, pesquisador de segurança da Flexera Software (empresa americana de software de computador sediada em Itasca, Illinois).

CVE-2018-1010
CVE-2018-1012
CVE-2018-1013
CVE-2018-1015
CVE-2018-1016

O Windows Microsoft Graphics também é afetado por uma vulnerabilidade de negação de serviço que pode permitir que um invasor faça com que um sistema direcionado pare de responder. Essa falha existe na maneira como o Windows manipula objetos na memória.
A Microsoft também divulgou detalhes de outra vulnerabilidade RCE (execução remota de comandos) crítica (CVE-2018-1004), que existe no Windows VBScript Engine e afeta todas as versões do Windows.

“Em um cenário de ataque com base na Web, o invasor pode hospedar um site especialmente criado para explorar a vulnerabilidade através do Internet Explorer e depois convencer um usuário a visualizar o site”, explica a Microsoft. “Um invasor também pode incorporar um controle ActiveX marcado como ‘seguro para inicialização’ em um aplicativo ou documento do Microsoft Office que hospede o mecanismo de renderização do IE.”

Além disso, a Microsoft também corrigiu várias vulnerabilidades de execução remota de código no Microsoft Office e no Microsoft Excel, o que poderia permitir que invasores controlassem os sistemas alvos.

As atualizações de segurança também incluem patches para seis falhas no Adobe Flash Player, três das quais foram classificadas como críticas.

As falhas listadas CVE (Vulnerabilidades e Exposições comuns) foram tratadas no Windows, no Microsoft Office, no Internet Explorer, no Microsoft Edge, no ChakraCore, no Mecanismo de proteção contra malware, no Microsoft Visual Studio e no Microsoft Azure IoT SDK, juntamente com bugs no Adobe Flash Player.

Os usuários são fortemente aconselhados a aplicar correções de segurança o mais rápido possível para impedir que hackers e cibercriminosos controlem seus computadores.

Para instalar atualizações de segurança, simplesmente vá em Configurações → Atualização e segurança → Windows Update → Verificar atualizações, ou você pode instalar as atualizações.

Tradução e adaptação – https://thehackernews.com/2018/04/windows-patch-updates.html