A Microsoft admitiu na quinta-feira (9/7) que tem conhecimento de uma falha responsável pela disseminação de um ataque pelo Internet Explorer (IE) há mais de um ano. Mesmo assim, se defendeu das críticas ao seu processo de segurança.

Mike Reavey, diretor do Centro de Segurança da Microsoft, afirmou que a companhia recebeu o primeiro relato de uma falha crítica no controle ActiveX entre março e abril de 2008. O bug pode ser explorado pelo IE6 e IE7 no Windows XP.

Os tempo de 16 meses desde que a falha foi informada já se revelou muito longo para os usuários ficarem sem uma correção, afirmou John Pescatore, analista de segurança da consultoria Gartner. “É simplesmente um tempo não aceitável. Não deveria levar nem um ano para uma companhia do tamanho da Microsoft”, opinou.

Reavey, no entanto, se defendeu afirmando que quando uma vulnerabilidade é reportada, eles imediatamente iniciam uma investigação “não apenas para olhar a falha, mas descobrir outros problemas em torno dela e oferecer a maior proteção possível”, afirmou o executivo que, no entanto, admitiu que o prazo está certamente acima da média. “O tempo não é o normal. A maioria das vulnerabilidades é corrigida antes mesmo de ser explorada em ataques”, concluiu.

Crackers estão usando a falha no ActiveX para levar usuários a visitar sites maliciosos ou implantar códigos maliciosos em sites legítimos.

Na segunda-feira (6/7), a Microsoft publicou, como medida preventiva, uma ferramenta gratuita que simplesmente desabilita do controle ActiveX. A medida, na opinião do analista do Gartner, não é realista, principalmente para empresas, pois exige que se entre no site da companhia, baixe a correção e a instale individualmente em cada PC.

A Microsoft anunciou que lançará finalmente uma correção para a falha, mas Reavey não confirmou se ela será divulgada junto ao pacote mensal de segurança da companhia, o Patch Tuesday,  programado para a próxima terça-feira (14/7), ou se será uma correção fora da programação.