Home > Notícias

Falha no Internet Explorer levou 15 meses para ser corrigida

Problema no ActiveX permite direcionar usuários a sites maliciosos. Microsoft admite que prazo para correção está acima do normal.

Redação do Computerworld/EUA

10/07/2009 às 9h19

Foto:

A Microsoft informou nesta quinta-feira (9/7) ter conhecimento - há mais de um ano - de uma falha responsável pela disseminação de um ataque pelo navegador Internet Explorer (IE). Mesmo assim, se defendeu de críticas recebidas quanto ao seu processo de segurança.

O diretor do Centro de Segurança da empresa, Mike Reavey, afirmou que a companhia recebeu o primeiro relato de uma falha crítica no controle ActiveX, que atinge as versões IE6 e IE7 para Windows X, entre março e abril de 2008. 

Quinze meses é tempo demais para que os usuários recebam uma solução. “É aceitável. Não deveria levar nem um ano para uma companhia do tamanho da Microsoft”, diz o analista de segurança da consultoria Gartner, John Pescatore.

O diretor da Microsoft explica que uma investigação começa toda vez que uma vulnerabilidade é reportada e  “não apenas para olhar a falha, mas descobrir outros problemas em torno dela e oferecer a maior proteção possível”. Mas concordou que o prazo está acima da média. “O tempo não é o normal. A maioria das vulnerabilidades é corrigida antes mesmo de ser explorada em ataques”, diz Reavey.

Mas não foi o que aconteceu dessa vez. Crackers estão usando a falha no ActiveX para levar usuários a visitar sites maliciosos ou implantar códigos maliciosos em sites legítimos.

Na segunda-feira (6/7), a Microsoft publicou, como medida preventiva, uma ferramenta gratuita que simplesmente desabilita do controle ActiveX das versões atingidas do navegador. A medida, na opinião do analista do Gartner, não é realista, principalmente para empresas, pois exige que se entre no site da companhia, baixe a correção e a instale em cada PC.

A Microsoft anunciou que lançará finalmente uma correção para a falha, mas Reavey não confirmou se ela será divulgada junto ao pacote mensal de segurança da companhia, o Patch Tuesday,  programado para a próxima terça-feira (14/7), ou se será uma correção fora da programação.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail