Home > Notícias

Bug de 7 anos: Microsoft explica por que demorou tanto para corrigi-lo

Porta-voz diz que correção poderia tornar inoperantes os aplicativos baseados em rede. Patch ocorreu quando risco foi minimizado.

ComputerWorld/EUA

13/11/2008 às 12h14

Foto:

A Microsoft explicou na quarta-feira (11/11) por que levou mais de sete anos para reparar uma falha. Eles disseram que apenas há um ano descobriram como corrigir o bug sem destruir a maioria dos aplicativos baseados na rede.

O problema num componente do Windows chamado Server Message Block (SMB), usado para compartilhar documentos e arquivos via redes de computadores, foi reparado na atualização da última terça-feira (10/11). A falha deixava redes corporativas vulneráveis por meio de um malware enviado por e-mail que poderia roubar as credenciais de autenticação da vítima.

Em um texto postado no blog Microsoft Security Response Center (MSRC), o porta-voz Christopher Budd reconheceu a vulnerabilidade de sete anos. "Quando este problema foi levantado em 2001, dissemos que poderíamos não fazer as mudanças necessárias para corrigi-las sem impactar negativamente os aplicativos baseados na rede. Para ser claro, o impacto poderia deixar muitos, até mesmo todos os aplicativos inoperantes", disse Budd.

Em vez de interromper os aplicativos, a Microsoft descartou a correção e disse às empresas que elas poderiam se proteger usando uma assinatura SMB, apesar de esta não ser uma solução suficiente. "A realidade é que havia obstáculos semelhantes que tornaram impraticável para clientes implementarem a assinatura SMB" admitiu Budd.

Ao mesmo tempo, o "SMB relay attacks", nome dado ao ataque quando ele foi comprovado por um cracker em 2001, foi possível.

Mas a Microsoft não se deixou levar pela questão, disse Budd. "Ao longo do ano passado, no entanto, o contínuo trabalho nos mostrou um modo de resolver a questão descrita no ataque e também minimizou o impacto nos aplicativos em rede". O resultado foi a correção da última terça-feira.

Para especialistas como Eric Schultze, da empresa de segurança Shavlik Technologies LLC, que trabalhou na falha assim que foi descoberta, parece que a Microsoft foi simplória sobre isso por um tempo. "Poderíamos ter resolvido isso em poucos meses se tivéssemos usado a cabeça. Estou contente pelo bug ter sido consertado, mas isso poderia ter sido reparado na época", disse ele.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail