Home > Notícias

Mês de Bugs da Apple acumula até agora 10 brechas no sistema Mac OS X

Inspirada em Mês de Bugs em Browsers, ação cumpre promessa de uma falha diária até agora, mas peca por falhas de menor impacto

Por Jaikumar Vijayan, para o IDG Now!*

12/01/2007 às 12h55

Foto:

Inspirada em Mês de Bugs em Browsers, ação cumpre promessa de uma falha diária até agora, mas peca por falhas de menor impacto

Uma campanha de um mês conduzida por dois pesquisadores independentes de segurança para revelar falhas de segurança em produtos da Apple até agora resultou em apenas 10 vulnerabilidades publicamente divulgadas - e diversas outras prestes a serem anunciadas.

Informações sobre exploração das falhas também foram divulgadas junto a detalhes dos códigos para comprometer o sistema, em muitos casos por ataques remotos.

As descobertas são parte do Mês de Bugs da Apple (do inglês, MoAB), lançado em 1º de janeiro pelos pesquisadores de segurança Kevin Finisterre e LMH.

O objetivo da empreitada, idêntica às campanhas Mês dos Bugs em Kernels e Mês dos Bugs em Browser em 2006, é aumentar a consciência sobre questões de segurança em produtos da Apple, de acordo com Finisterre.

"(A empresa) cria comerciais alegando segurança e o usuário acha que está vestindo uma armadura", afirma Finisterre por e-mail. Na realidade, "não existe falta de bugs no Mac OS X tanto do ponto de vista da plataforma como da aplicação".

Finisterre disse que enquanto apenas 10 falhas foram publicadas até agora, ele "já perder a conta" do número de brecha que foram descobertas como parte do MoAB. "Descobrir uma abundância de bugs não foi um problema mesmo, mas nem todas são facilmente exploráveis".

De acordo com ele, diversas brechas derivam da inadequada documentação da Apple para várias Interfaces para Programação de Aplicações (do inglês, API) relacionadas a funções comumente usadas para reproduzir mensagens de erro. "Diversos desenvolvedores estão usando mal as funções e isto está levando para situações de potencial risco", escreveu.

Dave Marcus, pesquisador de segurança e diretor de comunicações da McAfee Avert Labs, disse que o esforço para encontrar bugs da Apple parece estar aumentando preocupações com questões de segurança na plataforma.

Até agora, no entanto, nenhuma das brechas divulgadas teve tanto impacto no mercado, disse Marcus.

Na verdade, as únicas falhas dignas de atenção são uma afetando o Quicktime que permite execução de código arbitrário e uma brecha no Adobe que afeta diversos ambientes operacionais, incluindo o Mac OS X, disse ele. "Ambas são interessantes por que afetam produtos amplamente usados", afirma.

A decisão de Finisterre e de LMH é revelar publicamente falhas antes de dar à Apple a chance de corrigi-las aumentou o risco para usuários, afirmou ele. Mas os esforços de um ex-engenheiro da Apple chamado Landon Fuller para corrigir as questões descobertas está mitigando alguns dos riscos, acrescentou.

Fuller não respondeu imediatamente aos pedidos para comentar a história, mas suas correções para as falhas estão sendo publicadas em seu site.

A própria Apple não divulgou qualquer correção para as vulnerabilidades e não discute como responderia ao movimento. Em um anúncio por e-mail, uma porta-voz da companhia disse que a Apple "tem um ótimo histórico de divulgar correções para potenciais brechas de segurança antes de afetarem os usuários", não elaborou o argumento.

O anúncio também afirmou que a Apple classifica como bem-vindas sugestões para melhorar a segurança da plataforma Mac.

Esforços como o Mês de Bugs da Apple podem ser úteis para aumentar a consciência do usuário sobre problemas de segurança em plataformas como Mac OS X, disse Charles King, analista da consultoria Pund-IT.

"A Apple historicamente teve menos problemas com brechas de segurança do que a plataforma Wintel", com a contestação de alguns experts de segurança, que alegam que a base da Apple é menor, afirmou King.

Um esforço concentrado para encontrar falhas em seus softwares pode forçar a Apple a prestar mais atenção à segurança - assim como a própria Microsoft teve que fazê-lo, afirmou.

Ao mesmo tempo, cuidados precisam ser tomados para que tais iniciativas não acabem expondo desnecessariamente usuários a riscos, disse King. "Existe uma linha fina entre o serviço público e a publicidade descarada".

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail