O próximo Patch Tuesday já vai corrigir a falha grave para a qual a Microsoft emitiu um alerta ainda esta semana e que afecta várias versões do Internet Explorer devido a um controle de Active X. Do pacote fazem parte outras correcções, três das quais consideradas críticas.

No blog de segurança da Microsoft, Jerry Bryant escreve que a equipa de engenharia tem trabalhado arduamente para colmatar esta falha que foi considerada grave e que já está a ser explorada por hackers há mais de uma semana, permitindo que um atacante assuma controle de um computador depois de este visitar um site e exibir um vídeo especialmente preparado para explorar este bug.

Até à publicação deste patch, a Microsoft defende que os utilizadores devem continuar a recorrer à desactivação do controle de vídeo do Active X, que a empresa publicou no seu site.

Depois do alerta lançado pela Microsoft esta semana para esta falha no Internet Explorer, e que é uma das raras ocasiões em que a empresa rompeu com o ciclo de divulgação mensal de problemas de segurança, vários especialistas de segurança levantaram questões relativamente ao atraso com que a empresa respondeu a este problema.

Aparentemente a falha já era conhecida desde 2008, tendo sido revelada à Microsoft por empresas de segurança, mas a companhia de Redmond não lhe deu a devida importância até que começassem a surgir ataques a explorar este bug.

Mike Reavey, do Centro resposta de segurança da Microsoft, admite no blog que esta falha já tinha sido reportada pela IBM ISS X-Force, na Primavera de 2008. A análise da falha e a sua correcção estava "a seguir o processo standard" até que os atacantes a descobriram e começaram a lançar ataques baseados neste controle de Active X.

O processo de análise e correcção já estava suficientemente avançado para que a Microsoft conseguisse apresentar de forma rápida uma forma de contornar o problema, com o sistema de desactivação do controle que colocou à disposição dos clientes.

Mike Reavey adianta também que os clientes que já fizerem manualmente a correcção ou através do sistema de "FixIt" disponibilizado não precisam de aplicar o patch da próxima semana relativo ao IE, mas que este continua a ser recomendado para garantir que o sistema está totalmente protegido.

O Patch Tuesday que será publicado na próxima terça feira, 14 de Julho, tem três updates críticos que afectam o Windows, um importante relativo ao Publisher e outro do Internet Security e Acceleration Server (ISA), assim como mais um update importante que afecta o Virtual PC e o Virtual Server.