Falha no Windows publicada há 6 meses ainda não foi corrigida
Por ComputerWorld/EUA
Publicada em 13 de outubro de 2008 às 10h35
Atualizada em 13 de outubro de 2008 às 11h03
Framingham - Após subestimar ameaça anunciada por pesquisador argentino em abril, Microsoft não garante se corrigirá bug do sistema.
A Microsoft admitiu que uma vulnerabilidade nos sistemas Windows XP e Vista, divulgada há seis meses, ainda não foi reparada, enquanto um código de ataque referente a mesma circula pela web.
A empresa não deixou claro se pretende corrigir a falha no pacote de atualizações Patch Tuesday, que será lançado na próxima terça-feira (14/100).
Na quinta-feira (09/10), a Microsoft revisou o relatório de uma consultoria de segurança publicado pela primeira vez no dia 19 de abril sobre um bug no Windows XP e Vista, Server 2003 e Server 2008, que poderia ser explorado para dar privilégios em máquinas vulneráveis. "O código de ataque publicado mirava esta vulnerabilidade", confirmou Bill Sisk, gerente de comunicações do Security Response Center da Microsoft, em um post.
A vulnerabilidade tem uma história complexa. No final de março, o pesquisador de segurança Cesar Cerrudo anunciou ter descoberto um bug que poderia deixar que crackers contornassem alguns dos esquemas de segurança nas mais recentes versões do sistema operacional, incluindo o Windows Server 2008. Na época, Sisk chamou o bug de Cerrudo de "falha de design" ao invés de vulnerabilidade, e subestimou a ameaça.
Só depois que Cerrudo apresentou suas descobertas em uma conferência de segurança em abril nos Emirados Árabes, a Microsoft mudou o tom e passou a chamar a falha de problema de segurança.
Na quarta-feira (08/10), Cerrudo publicou um código 'prova de conceito' (PoC). "Basicamente, se você pode executar um código sob qualquer serviço no
Windows Server 2003, você domina o sistema", disse Cerrudo em uma descrição divulgada no milw0rm.com.
Além de não corrigir o problema, a Microsoft ainda continuava a ser evasiva sobre a correção. "Tomaremos as providências apropriadas para proteger seus clientes. Poderemos solucionar o problema por uma atualização, pelo pacote de correções mensais, ou ainda por uma atualização de segurança não programada, dependendo das necessidades dos consumidores", disse um porta-voz da empresa.
No blog, Sisk não prometeu uma correção. "Continuaremos a monitorar a situação e publicar atualizações para os desenvolvedores e no blog MSRC assim que tivermos qualquer nova informação importante", disse ele.
Compartilhe:
- DEL.ICIO.US
- GOOGLE BOOKMARKS
- TECHNORATI
- NETVIBES
- DIGG
CONTEÚDO RELACIONADO:
- Bug que pode paralisar servidores de internet preocupa fornecedores
- Google corrige duas vulnerabilidades identificadas no browser Chrome
- Conheça as falhas de aplicativos online que ameaçam a sua segurança
- Máquina com Windows desatualizado pode ser invadida em 4 minutos
- Bug no Access pode ser maior que o divulgado pela MS, diz Symantec
IDG NOW! BUSCA:
Links patrocinados
ÚLTIMAS NOTÍCIAS DO IDG NOW!:
- HP, Asus e Acer já fabricam equipamentos para rodar Chrome OS
- Direcionar DNS do Speedy arrisca segurança do internauta, diz empresa
- Software livre ganha força com sistema operacional do Google
- Nova lei eleitoral que permite uso da web em campanhas é aprovada
- Chrome OS: advogados levantam questões de privacidade e concorrência
- Loja de aplicativos da Apple faz 1 ano
Links patrocinados
Brasil no rastro dos golpes
Delegado da Polícia Federal detalha novo sistema para analisar golpes por e-mail no País.
Roubo de senhas
Denny Roger relata as técnicas mais utilizadas para roubo de senhas. Saiba como proteger a sua.
Links patrocinados
