Microsoft explica por que demorou para corrigir 'bug de 7 anos'
Por ComputerWorld/EUA
Publicada em 13 de novembro de 2008 às 13h15
Atualizada em 13 de novembro de 2008 às 13h21
Framigham - Porta-voz diz que correção poderia tornar inoperantes os aplicativos baseados em rede. Patch ocorreu quando risco foi minimizado.
A Microsoft explicou na quarta-feira (11/11) por que levou mais de sete anos para reparar uma falha. Eles disseram que apenas há um ano descobriram como corrigir o bug sem destruir a maioria dos aplicativos baseados na rede.
O problema num componente do Windows chamado Server Message Block (SMB), usado para compartilhar documentos e arquivos via redes de computadores, foi reparado na atualização da última terça-feira (10/11). A falha deixava redes corporativas vulneráveis por meio de um malware enviado por e-mail que poderia roubar as credenciais de autenticação da vítima.
Em um texto postado no blog Microsoft Security Response Center (MSRC), o porta-voz Christopher Budd reconheceu a vulnerabilidade de sete anos. "Quando este problema foi levantado em 2001, dissemos que poderíamos não fazer as mudanças necessárias para corrigi-las sem impactar negativamente os aplicativos baseados na rede. Para ser claro, o impacto poderia deixar muitos, até mesmo todos os aplicativos inoperantes", disse Budd.
Em vez de interromper os aplicativos, a Microsoft descartou a correção e disse às empresas que elas poderiam se proteger usando uma assinatura SMB, apesar de esta não ser uma solução suficiente. "A realidade é que havia obstáculos semelhantes que tornaram impraticável para clientes implementarem a assinatura SMB" admitiu Budd.
Ao mesmo tempo, o "SMB relay attacks", nome dado ao ataque quando ele foi comprovado por um cracker em 2001, foi possível.
Mas a Microsoft não se deixou levar pela questão, disse Budd. "Ao longo do ano passado, no entanto, o contínuo trabalho nos mostrou um modo de resolver a questão descrita no ataque e também minimizou o impacto nos aplicativos em rede". O resultado foi a correção da última terça-feira.
Para especialistas como Eric Schultze, da empresa de segurança Shavlik Technologies LLC, que trabalhou na falha assim que foi descoberta, parece que a Microsoft foi simplória sobre isso por um tempo. "Poderíamos ter resolvido isso em poucos meses se tivéssemos usado a cabeça. Estou contente pelo bug ter sido consertado, mas isso poderia ter sido reparado na época", disse ele.
O problema num componente do Windows chamado Server Message Block (SMB), usado para compartilhar documentos e arquivos via redes de computadores, foi reparado na atualização da última terça-feira (10/11). A falha deixava redes corporativas vulneráveis por meio de um malware enviado por e-mail que poderia roubar as credenciais de autenticação da vítima.
Em um texto postado no blog Microsoft Security Response Center (MSRC), o porta-voz Christopher Budd reconheceu a vulnerabilidade de sete anos. "Quando este problema foi levantado em 2001, dissemos que poderíamos não fazer as mudanças necessárias para corrigi-las sem impactar negativamente os aplicativos baseados na rede. Para ser claro, o impacto poderia deixar muitos, até mesmo todos os aplicativos inoperantes", disse Budd.
Em vez de interromper os aplicativos, a Microsoft descartou a correção e disse às empresas que elas poderiam se proteger usando uma assinatura SMB, apesar de esta não ser uma solução suficiente. "A realidade é que havia obstáculos semelhantes que tornaram impraticável para clientes implementarem a assinatura SMB" admitiu Budd.
Ao mesmo tempo, o "SMB relay attacks", nome dado ao ataque quando ele foi comprovado por um cracker em 2001, foi possível.
Mas a Microsoft não se deixou levar pela questão, disse Budd. "Ao longo do ano passado, no entanto, o contínuo trabalho nos mostrou um modo de resolver a questão descrita no ataque e também minimizou o impacto nos aplicativos em rede". O resultado foi a correção da última terça-feira.
Para especialistas como Eric Schultze, da empresa de segurança Shavlik Technologies LLC, que trabalhou na falha assim que foi descoberta, parece que a Microsoft foi simplória sobre isso por um tempo. "Poderíamos ter resolvido isso em poucos meses se tivéssemos usado a cabeça. Estou contente pelo bug ter sido consertado, mas isso poderia ter sido reparado na época", disse ele.
Gregg Keizer, editor da Computerworld, dos EUA
Compartilhe:
- DEL.ICIO.US
- GOOGLE BOOKMARKS
- TECHNORATI
- NETVIBES
- DIGG
CONTEÚDO RELACIONADO:
IDG NOW! BUSCA:
Links patrocinados
ÚLTIMAS NOTÍCIAS DO IDG NOW!:
- HP, Asus e Acer já fabricam equipamentos para rodar Chrome OS
- Direcionar DNS do Speedy arrisca segurança do internauta, diz empresa
- Software livre ganha força com sistema operacional do Google
- Nova lei eleitoral que permite uso da web em campanhas é aprovada
- Chrome OS: advogados levantam questões de privacidade e concorrência
- Loja de aplicativos da Apple faz 1 ano
Links patrocinados
Brasil no rastro dos golpes
Delegado da Polícia Federal detalha novo sistema para analisar golpes por e-mail no País.
Roubo de senhas
Denny Roger relata as técnicas mais utilizadas para roubo de senhas. Saiba como proteger a sua.
Links patrocinados
Veja como utilizar o conteúdo do site líder em notícias sobre tecnologia a seu favor.
