Threatcon - Symantec Corp.

The ThreatCon is currently at Level 1: Normal.

On January 10, 2012, Microsoft released its scheduled patch update for January 2012. This January's update covers vulnerabilities in the Microsoft Windows operating system, its components, as well as vulnerabilities in Windows Media Player, Windows Object Packager, and the Microsoft Anti-Cross Site Scripting Library. Seven security bulletins have been released to address these issues.

Exploitation of the patched vulnerability in Windows Media Player (BID 51292, CVE-2012-0003) is occurring in the wild on malicious websites for remote code execution. Attacks are currently not widespread.

Customers are advised to install all applicable updates as soon as possible.

Microsoft Security Bulletin Summary for January 2012
http://technet.microsoft.com/en-us/security/bulletin/ms12-jan

Malware Leveraging MIDI Remote Code Execution Vulnerability Found
http://blog.trendmicro.com/malware-leveraging-midi-remote-code-execution-vulnerability-found/

More Information on MS12-004
http://blogs.technet.com/b/srd/archive/2012/01/10/more-information-on-ms12-004.aspx

Microsoft Security Bulletin MS12-004 - Vulnerabilities in Windows Media Could Allow Remote Code Execution (2636391)
http://technet.microsoft.com/en-us/security/bulletin/ms12-004

Advanced Exploitation of Internet Explorer Heap Overflow Vulnerabilities (MS12-004)
http://www.vupen.com/blog/20120117.Advanced_Exploitation_of_Windows_MS12-004_CVE-2012-0003.php

Microsoft Windows Media Player 'winmm.dll' MIDI File Parsing Remote Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/51292

Nota: Esta informação está disponível somente em inglês.

ThreatCon Nível 1
Baixo: Postura básica em rede
Esta condição se aplica quando não houver atividade ou incidente de rede perceptível e atividade de código malicioso com grau de risco severo ou moderado. Nessas condições, somente as medidas de segurança de rotina criadas para combater ameaças comuns da rede são garantidas. Devem ser utilizados sistemas automatizados e mecanismos de alerta.

ThreatCon Nível 2
Médio: Alerta crescente
Esta condição se aplica quando atividades de ataque são constatadas ou esperadas sem a ocorrência de eventos específicos ou quando o código malicioso atinge um grau de risco moderado. Nessas condições, é recomendável a verificação cuidadosa dos sistemas expostos e vulneráveis, a atualização das aplicações de segurança com as novas assinaturas e/ou regras assim que estas estiverem disponíveis e o monitoramento rigoroso dos registros de eventos. Não são necessárias alterações na infra-estrutura.

ThreatCon Nível 3
Alto: Ameaça conhecida
Esta condição se aplica quando uma ameaça isolada à infra-estrutura de computação está em operação ou quando um código malicioso atinge um grau de risco severo. Nessas condições, o aumento do monitoramento é necessário, as aplicações de segurança devem ser atualizadas com as novas assinaturas e/ou regras assim que estas estiverem disponíveis e a redistribuição e a reconfiguração dos sistemas de segurança são recomendadas. As pessoas devem procurar manter essas medidas durante algumas semanas, visto que as ameaças surgem freqüentemente.

ThreatCon Nível 4
Extremo : Alerta total
Esta condição se aplica quando uma atividade extrema de incidente de rede global estiver em andamento. A implementação de medidas nessas condições de ameaça por mais de um período curto provavelmente criará dificuldades e afetará as operações normais da infra-estrutura de rede.