Grande notícia! Próxima terça-feira é dia de Patch Tuesday, mas a Microsoft tem apenas algumas atualizações alinhadas. Não fique muito confortável, você precisa se preparar para as mudanças a empresa está fazendo no próximo mês para chaves criptográficas.
Vamos começar com o Patch Tuesday - como é chamada a segunda terça-feira do mês em que a Microsoft costuma liberar atualizações de segurança. Setembro é o mês mais dramático. Ao contrário dos anteriores,carregados de múltiplas atualizações críticas, ou o fato de que o Internet Explorer ter sido mensalmente atualizado, a Microsoft tem apenas dois boletins de segurança programados para setembro.
Nos dois últimos meses cada um tinha nove novos boletins de segurança e a média por mês até agosto foi de 7,5. Dois é um número que fará muitos administradores de TI felizes. Naturalmente, muitos ainda estão tentando recuperar o atraso dos meses anteriores, e podem usar esse intervalo para concluir a implantação dos patches que já possuem. Então, há o patch Java da Oracle, que provavelmente precisa de atenção urgente, se você ainda não o implementou.
O analista forense e de segurança da Lumension, Paul Henry, enfatiza que "também deve-se notar que existem atualmente nove vulnerabilidades 0-day em produtos Enterprise da HP com nenhum patch à vista. Oito dessas vulnerabilidades foram classificadas com o mais alto nível de risco e devem manter profissionais de TI acordados durante a noite caso eles estejam usando qualquer dos produtos afetados."
Mas, mesmo se todos os seus patches e atualizações foram aplicadas, e você fez todo o possível para minimizar o risco de eventuais vulnerabilidades não corrigidas que ainda existem, o seu trabalho ainda não terminou. O CTO da Qualys, Wolfgang Kandek, lembra que a Microsoft tem novas regras que entrarão em vigor em outubro e que invalidarão muitos certificados.
Kandek diz que o projeto Microsoft Certificate Review foi iniciado quando a gigante descobriu que o Flame foi assinado por um certificado Microsoft legítimo. Para reforçar a segurança dos certificados e prevenir ocorrências semelhantes no futuro, a Microsoft irá considerar qualquer certificado assinado com uma chave menor que 1024 bits inválida.
O diretor de operações de segurança da nCircle, Andrew Storms, explica: "estes antigos antigos sistemas, que contam com criptografia fraca ou chaves muito curtas irão parar de funcionar. Conserte-as agora, ou você se arrependerá quando elas pararem em outubro."