Tanto os desenvolvedores de software quanto os usuários de computador estão seriamente preocupados com o número crescente de ataques cibernéticos. Usuários domésticos de PC, pequenas empresas e até mesmo grandes empresas perderam milhões de dólares depois que seus PCs foram sequestrados por vírus de ransomware, como Cryptolocker, FBI, Ukash, Locky e muitos outros. Embora os ataques de ransomware sejam os mais graves, existem muitos outros métodos que os hackers usam para lucrar com a chantagem de pessoas. Gigantes da tecnologia, incluindo a Microsoft, sempre trabalharam muito para garantir a proteção dos usuários, mas, aparentemente, existem centenas de programadores profissionais entre os hackers que conseguem explorar o mínimo de segurança vulnerabilidades. Este é um problema contínuo, amplamente discutido na Internet e várias medidas são tomadas para impedir que os hackers enganem as pessoas.
Recentemente, a Microsoft caiu em uma situação nada invejável após a equipe de pesquisa de segurança Project Zero do Google revelou uma vulnerabilidade grave nos navegadores Microsoft Edge e Internet Explorer no final de novembro 2016. A vulnerabilidade (indexada como CVE-2017-0038) é conhecida como um bug de confusão de tipo, que se origina do arquivo HTML no qual o JavaScript reformata as propriedades StyleSheet de uma tabela HTML. Consequentemente, a confusão de tipos origina-se, causando a falha de segurança do navegador da web. Como o Banco de Dados de Vulnerabilidade Nacional apontou, esse bug “permite que atacantes remotos executem código arbitrário por meio de vetores envolvendo uma sequência de tokens de folhas de estilo em cascata (CSS) elaborada e código JavaScript elaborado que opera em um [table-header] elemento."
O Project Zero informou a Microsoft sobre a falha do IE / Edge em 25 de novembro de 2016 e deu 90 dias para o lançamento do patch. Caso contrário, o Project Zero divulgará os detalhes da vulnerabilidade publicamente. A Microsoft reconheceu o problema e, acreditamos, está trabalhando muito para consertar o crack, embora em vão. Esperava-se que a correção fosse lançada com o Patch Tuesday de fevereiro, que, infelizmente, foi cancelado devido a razões ainda desconhecidas. A usual Patch Tuesday está agendada apenas para março. Até a Microsoft lançar o patch, os especialistas em segurança recomendam que as pessoas tomem medidas de precaução e confiem no Google Chrome (versão de 64 bits) em vez do Edge ou IE. Além disso, mudar para o Windows 10 de versões anteriores também é uma medida de precaução altamente recomendável.
Outra questão acalorada relacionada ao bug do Microsoft Edge e do IE é se as pessoas devem confiar em patches de terceiros ou não. A Acros Security revelou um patch temporário para uma vulnerabilidade de confusão do Internet Explorer e do tipo de borda, que pode impedir a execução de códigos maliciosos. Acros Security é voltado para vulnerabilidades não corrigidas, produtos em fim de vida útil e sem suporte, software vulnerável de terceiros e semelhantes. É apontado que este patch é aplicável para a maioria das vulnerabilidades exploráveis (por exemplo, strings de formato, plantio binário, injeções de DLL, buffers não verificados, patch de dados, etc.). No entanto, a Microsoft não recomenda que os usuários do Windows confiem em patches de terceiros. Enquanto os desenvolvedores do Acros Security 0patch afirmam que o patch foi cancelado assim que o usuário instalou o patch oficial lançado pelo fornecedor do sistema operacional. No entanto, de acordo com o Security Professional Chris Goettl, “Assim que a Microsoft lançar uma correção, ela será instalada sobre as alterações do 0Patch? Se ocorrer algum problema, o usuário \ empresa ficará em uma área cinza. ” Portanto, para obter suporte total e todos correções disponíveis da Microsoft, é melhor não permitir que terceiros modifiquem os componentes da Microsoft em qualquer caminho.