Home > Notícias

Microsoft tem problemas para corrigir falhas no IE descobertas em julho

Empresa divulga alerta para praga que explora brecha por pesquisador, que afirma ainda conhecer 20 vulnerabilidades não corrigidas

Por Robert McMillan, para o IDG Now!*

29/09/2006 às 15h07

Foto:

Empresa divulga alerta para praga que explora brecha por pesquisador, que afirma ainda conhecer 20 vulnerabilidades não corrigidas

O processo já se tornou repetitivo: um cracker publica um código malicioso em um site de segurança da internet, o que força a Microsoft a divulgar um alerta para seus usuários.

O mesmo caminho foi trilhado novamente nesta quinta-feira (29/09), com a diferença que o alerta da Microsoft afirmando estar investigando "novas revelações públicas" de uma falha crítica no Windows foi divulgado apenas dois meses após amostras da praga que explora a brecha serem encontradas na internet.

A brecha que alertada pela Microsoft está no controle ActiveX, linguagem usada pelo software de interface gráfica para o usuário do Windows, e foi descoberta em 18 de julho como parte do projeto mensal conduzido por HD Moore que pretendia expor uma brecha em navegadores por dia durante julho.

Moore chamou seu projeto de "Mês das falhas no navegador" e terminou revelando um total de 22 vulnerabilidades da Microsoft neste período.

Há alguns dias, Moore acrescentou uma amostra de código malicioso para a falha na ferramenta para hackers Metasploit. A praga chamou a atenção da Microsoft após ser publicada no site milw0rm.com, disse Moore.

Pesquisadores de segurança, no entanto, acreditam que qualquer cracker competente pode ter desenvolvido um ataque a partir das informações publicadas no blog em julho.

Até agora, a Microsoft corrigiu apenas duas das brechas alardeadas por Moore. Na verdade, engenheiros da Microsoft não conseguiram nem mesmo investigar um terço das vulnerabilidades, disse Moore.

Executivos da Microsoft não puderam ser contatados para comentar, mas o alerta de segurança da empresa disse que o último bug WebViewFolderIcon foi corrigido no dia 10 de outubro.

"Estamos em contato com HD Moore e, desta vez, nossas investigações revelaram que muitos dos problemas relacionados ao Internet Explorer em particular resultarão no fechamento de repente do navegador", afirmou a agência de relações públicas da Microsoft em anúncio à imprensa.

"Por sua natureza, grande parte dos problemas serão resolvidos por pacote geral de atualizações, e não apenas uma correção de segurança", afirmou.

A Microsoft esteve ocupada neste mês, apressando uma correção fora do seu ciclo padrão para uma falha na linguagem Vector Markup Language (VML) no Internet Explorer que estava sendo explorado por crackers.

A Microsoft tem mais trabalho ainda a frente, de acordo com Moore. No começo de agosto, o pesquisador entregou à Microsoft mais 70 vulnerabilidades que ainda não foram divulgadas publicamente.

Ainda assim, Moore acredita que a maioria das falhas deve estar consertada atualmente.

A Microsoft afirmou que ao menos 4 das falhas entregues são "brechas exploráveis", o que significa que um cracker pode ganhar privilégios remotos para rodar códigos não autorizados no computador da vítima, revelou Moore.

No começo da semana, a Symantec afirmou que a Microsoft foi a desenvolvedora de navegadores mais lenta na correção de segurança no primeiro semestre deste ano.

De acordo com os números da Symantec, no entanto, a Microsoft corrigiu falhas no IE, em média, nove dias após a revelação pública da falha. A maioria das 22 falhas da empresa divulgadas por Moore já estão em conhecimento público por dois meses.

*Robert McMillan é editor do IDG News Service, em São Francisco

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail