É oficial: versões antigas do IE param de receber updates de segurança

PC World / EUA
12 de fevereiro de 2016 - 15h56
Usuários do IE7 e IE8 e do IE9 e do IE10 na maioria dos Windows passam a ficar desprotegidos contra novas vulnerabilidades a partir desta semana.

A Microsoft cumpriu nesta semana uma promessa em 2014 e acabou com os updates de segurança para os usuários de versões antigas do seu navegador IE (Internet Explorer).

Todos os usuários do Windows que ainda rodam o IE7 ou IE8, e aqueles rodando o IE9 em qualquer Windows menos o Vista, assim como quem usa o IE10 em qualquer versão com exceção do Windows Server 2012, não receberam as soluções distribuídas pela Microsoft nesta semana para os sistemas equipados com o mais novo IE11 ou o sucessor Edge.

Como costuma fazer, a Microsoft liberou um único update cumulativo para o IE em 9 de fevereiro. A atualização, chamada de MS16-009, incluía soluções para 13 vulnerabilidades.

Apesar de a Microsoft não ter revelado quais soluções não foram liberadas para as versões mais antigas do IE, não é difícil apontar as que não foram enviadas.

Das 13 vulnerabilidades corrigidas pela solução MS16-009, nove afetaram todas as versões que ainda são suportadas, incluindo o IE9 no Windows Vista e o IE10 no Windows Server 2012. Como versões diferentes do navegador da Microsoft compartilham uma grande quantidade de código, é quase certo que essas nove vulnerabilidades também existem no IE7 e IE8, e no IE9 e IE10 nas edições sem suporte para os patches.

Em outras palavras, mais de dois terços das vulnerabilidades corrigidas pela Microsoft nesta semana provavelmente existem em versões “aposentadas” do IE.

O perigo com vulnerabilidades conhecidas, mas não corrigidas, é significativo: cibercriminosos costumam ir atrás de updates e comparar o antes e o depois do código para determinar o que mudou. Com isso, eles investigam mais em uma tentativa de realizar engenharia reversa no patch para encontrar a vulnerabilidade. 

Neste caso, a vulnerabilidade encontrada, digamos, no IE9 no Vista – que recebeu patches nesta semana – pode dar um insight aos criminosos sobre a localização do bug no antigo IE8. A partir daí, eles podem criar um exploit para o browser em risco.

 

E os cibercriminosos terão uma motivação boa para isso, pelo menos temporariamente, já um grande número de usuários do IE no mundo ainda estão usando as versões agora aposentadas do navegador. Segundo a empresa de pesquisas Net Applications, cerca de um terço dos usuários do IE em janeiro ainda usavam uma versão que parou de receber updates de segurança.