Home > Notícias

Bug no Windows descoberto há 6 meses ainda não foi corrigido

Após subestimar ameaça anunciada por pesquisador argentino em abril, Microsoft não garante se corrigirá bug do sistema.

ComputerWorld/EUA

13/10/2008 às 10h15

Foto:

A Microsoft admitiu que uma vulnerabilidade nos sistemas Windows XP e Vista, divulgada há seis meses, ainda não foi reparada, enquanto um código de ataque referente a mesma circula pela web.

A empresa não deixou claro se pretende corrigir a falha no pacote de atualizações Patch Tuesday, que será lançado na próxima terça-feira (14/100).

Na quinta-feira (09/10), a Microsoft revisou o relatório de uma consultoria de segurança publicado pela primeira vez no dia 19 de abril sobre um bug no Windows XP e Vista, Server 2003 e Server 2008, que poderia ser explorado para dar privilégios em máquinas vulneráveis. "O código de ataque publicado mirava esta vulnerabilidade", confirmou Bill Sisk, gerente de comunicações do Security Response Center da Microsoft, em um post.

A vulnerabilidade tem uma história complexa. No final de março, o pesquisador de segurança Cesar Cerrudo anunciou ter descoberto um bug que poderia deixar que crackers contornassem alguns dos esquemas de segurança nas mais recentes versões do sistema operacional, incluindo o Windows Server 2008. Na época, Sisk chamou o bug de Cerrudo de "falha de design" ao invés de vulnerabilidade, e subestimou a ameaça.

Só depois que Cerrudo apresentou suas descobertas em uma conferência de segurança em abril nos Emirados Árabes, a Microsoft mudou o tom e passou a chamar a falha de problema de segurança.

Na quarta-feira (08/10), Cerrudo publicou um código 'prova de conceito' (PoC). "Basicamente, se você pode executar um código sob qualquer serviço no
Windows Server 2003, você domina o sistema", disse Cerrudo em uma descrição divulgada no milw0rm.com.

Além de não corrigir o problema, a Microsoft ainda continuava a ser evasiva sobre a correção. "Tomaremos as providências apropriadas para proteger seus clientes. Poderemos solucionar o problema por uma atualização, pelo pacote de correções mensais, ou ainda por uma atualização de segurança não programada, dependendo das necessidades dos consumidores", disse um porta-voz da empresa.

No blog, Sisk não prometeu uma correção. "Continuaremos a monitorar a situação e publicar atualizações para os desenvolvedores e no blog MSRC assim que tivermos qualquer nova informação importante", disse ele.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail