Home > Notícias

Consultoria publica correção alternativa para nova brecha no Windows

Vulnerabilidade crítica confirmada pela Microsoft, mas ainda sem correção, ganha atualização alternativa da eEye

Por Robert McMillan, para o IDG Now!*

30/03/2007 às 15h16

Foto:

Vulnerabilidade crítica confirmada pela Microsoft, mas ainda sem correção, ganha atualização alternativa da eEye

Com criminosos online explorando uma falha não corrigida no Windows, a desenvolvedora de segurança eEye divulgou uma correção não oficial para o problema.

O pacote não oficial, disponível nesta sexta-feira (30/03), corrige uma falha na maneira como o Windows lida com arquivos Animated Cursor, usados para criar cursores animados no Windows.

:: Infocenter Windows: Confira dicas, reviews e reportagens

Pesquisadores de segurança da McAfee reportaram o bug na quarta-feira (28/03), afirmando que já havia ataques para a falha.

A Microsoft afirmou que eventualmente corrigirá o problema e recomenda que usuários evitem este tipo de correção alternativa para seus produtos. Mas, no passado, pacotes similares da eEye e de outras empresas foram baixadas por milhares de usuários do Windows que não quiseram esperar pela Microsoft.

A próxima atualização da Microsoft será divulgada no dia 10 de abril, mas a gigante de software ainda não confirmou se vai ou divulgar correção para o problema com cursores animados.

A fabricante de segurança Determina disse ter informado a Microsoft sobre o problema em dezembro. "A companhia corrigiu uma brecha muito parecida com esta no pacote MS05-002, mas a atualização foi incompleta", afirma o site da Determina.

Diversos sites, incluindo dois hospedados na China, estão oferecendo códigos que exploram a falha, mas o que a torna mais perigosa é o fato de também afetar os software de e-mail da Microsoft.

Em um post nesta quinta-feira (29/03), o diretor do Centro de Resposta de Segurança da Microsoft, Adrian Stone, afirmou que usuários do Outlook Express estão vulneráveis ao bug, mesmo que os e-mails sejam representados apenas em texto.

A Microsoft adverte usuários do Outlook a ler mensagens apenas no formato de texto, mas afirma que usuários do Outlook 2007 estão protegidos mesmo que não façam isto.

De acordo com o chief technology officer da eEye, Marc Maiffret, a Microsoft deveria ter corrigido o problema há dois anos, quando a companhia foi avisada pela primeira vez sobre a falha na atualização MS05-002.

"Eles consertaram a falha que descobrimos em 2005, mas durante sua investigação, a empresa ignorou uma área onde códigos idênticos poderiam ser usados", afirmou ele.

"É difícil dizer quantas pessoas estão explorando a falha em razão das natureza similar de ambos os bugs".

*Robert McMillan é editor do IDG News Service, em São Francisco

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail