A Microsoft encontrou um grande número de falhas no dia-zero mais recente, incluindo o CVE-2018-8611 (corrigido este mês) e os CVE-2018-8589 e CVE-2018-8589 de novembro.

Agora, foi lançado um patch de emergência para uma vulnerabilidade de dia zero de execução remota de código (RCE) no mecanismo de script Jscript do Internet Explorer que afeta todas as versões do Windows, incluindo o Windows 10.

Identificada como CVE-2018-8653, a falha foi relatada pelo pesquisador do Google Threat Analysis Group, Clement Lecigne, e que, de acordo com a Microsoft, está sendo explorada em ataques direcionados.

A empresa não detalhou quais ataques, mas o fato de estar sendo explorado, explica por que aplicar o patch da Microsoft deve ser uma alta prioridade.

Segundo a Microsoft:

Em um cenário de ataque com base na Web, o invasor pode hospedar um site especialmente criado para explorar a vulnerabilidade através do Internet Explorer e, então, convencer um usuário a exibir o site, por exemplo, enviando um e-mail.

A exploração depende do nível de privilégio do usuário segmentado, e o conselho mais recente da Microsoft diz que os administradores podem considerar limitar o acesso ao Jscript.dll caso não planejem implementar o patch em breve.

Em sistemas de servidor (Server 2008, Server 2012, Server 2016, Server 2019), a classificação de gravidade é reduzida de “crítica” para “moderada” graças a uma restrição denominada Configuração de segurança aprimorada

Windows 10 também

Ao rolar para baixo no aviso da Microsoft pode-se perceber que o patch também está sendo oferecido como uma atualização para o IE 11 para o Windows 10.

Mas, espere, o Windows 10 não substituiu o IE pelo navegador Edge, que usa um mecanismo de script diferente, o Chakra?

De fato, mas por motivos de compatibilidade com versões anteriores, os componentes do IE permanecem como parte padrão de todas as versões do Windows (com exceção do Windows Long Pro Service Branch (LTSB), uma versão personalizável do Windows usada por organizações maiores).

Portanto, mesmo que você não use o IE 11 – ou qualquer navegador da Microsoft -, partes dele estão à espreita em todos os sistemas Windows, presumivelmente no caso de aplicativos ou sites da Microsoft mais antigos precisassem usá-los.

O que fazer

Aplique o patch. Para usuários do Windows 10 que executam o Windows 10 64 bits 1803 (abril de 2018), a atualização é KB4483234.

Os usuários que conseguiram atualizar para o muito atrasado Windows 10 64-bit 1809 (outubro de 2018) a atualização que deve ser procurada é o KB4483235.

Para quem ainda está no Windows 10 64 bits 1709 (outubro de 2017), é KB4483232.

Quanto às versões mais antigas, Windows 8.1 para sistemas baseados em x64 e Windows 7 para sistemas Service Pack 1 baseados em x64, é KB4483187.

Com informações do blog Naked Security, da Sophos.