Home > Notícias

Em vez de corrigir bugs, Microsoft abandona Indeo depois de 17 anos

Acesso ao codec de vídeo é bloqueado no IE e no Windows Media Player; games de vídeo que usam o codec não são afetados.

Gregg Keizer, da Computerworld/EUA

14/12/2009 às 12h22

codec_video_150.jpg
Foto:

codec_video_150.jpgUm aviso de segurança emitido pela Microsoft na terça-feira (8/12) – mesmo dia em que lançou o Patch Tuesday de dezembro –, mostra um movimento incomum por parte da empresa e que irá bloquear o acesso ao Indeo pelo Internet Explorer e Windows Media Player.  O Indeo é um codec de vídeo, software que faz a compressão e descompressão de arquivos de vídeo. O bloqueio também impede que outras aplicações com acesso à web carreguem o codec. Aplicações em disco, tais como games, que ainda utilizem o codec Indeo irão funcionar normalmente, informa a Microsoft.

Não está claro a quantidade de vulnerabilidades não corrigidas que o Indeo possui, mas pelo menos duas empresas de segurança – Verisign iDefense e Fortinet – emitiram alertas de bugs na semana passada. A vulnerabilidade citada pela iDefense já havia sido comunicada à Microsoft há mais de um ano.

A atualização de bloqueio foca apenas as versões mais antigas do sistema operacional: Windows 2000, Windows XP e Windows Server 2003. O Vista, o Windows 7 e o Windows Server 2008 já impediam a carga do codec, que foi lançado pela Intel em 1992.

Ao impedir o acesso ao codec pelo Internet Explorer e pelo Windows Media Player, informa a Microsoft, a empresa está protegendo os usuários de vetores de ataques conhecidos, que poderiam ocorrer quando se visita sites maliciosos.

Não é comum a Microsoft, em vez de corrigir uma vulnerabilidade conhecida, desabilitá-la. “Está é uma ocorrência rara e é desafiador remover funcionalidades de produtos que os usuários ainda em utilização sem afetar os aplicativos existentes”, informou um porta-voz da Microsoft por e-mail na quinta-feira (10/12).

Emitir uma correção para o codec, no entanto, não faria muito sentido, na opinião do diretor de pesquisas de vulnerabilidades de segurança da Qualys, Richie Lai. “A Microsoft já havia feito essa mudança no Vista e no Windows 7, e o Indeo é raramente utilizado”, disse ele, acrescentando que a ação visa mais diminuir a “superfície de ataque”.

Essa não é a primeira vez que a Microsoft desiste de publicar correções para vulnerabilidades. Em setembro, a empresa anunciou que a correção de uma falha de implementação de TCP/IP no Windows 2000 Server SP4 era inviável porque “requereria reprojetar uma quantidade significativa do código do sistema operacional” e isso significava “não poder garantir que aplicações criadas para rodar no Windows 2000 Server SP4 iram continuar funcionando no sistema atualizado”.

O porta-voz da Microsoft informou ainda que a empresa acredita que ações desta natureza irá proporcionar mais segurança aos usuários do que o endereçamento de instâncias individuais de vulnerabilidade.

“Talvez esta seja uma nova tendência”, afirma o gerente do time de dados e segurança da Shavlik Technologies.

O bloqueio ao Indeo chega aos usuários por meio do mecanismo de atualização automática Windows Update.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail