Home > Notícias

Microsoft contesta novas falhas no Office

Microsoft questiona falhas no Word 2007 e critica a forma como elas foram divulgadas

Por Jeremy Kirk, para o IDG Now!*

12/04/2007 às 17h42

Foto:

Microsoft questiona falhas no Word 2007 e critica a forma como elas foram divulgadas

A Microsoft está contestando relatórios que apontam três novas falhas no Office e questionando a forma como as vulnerabilidades foram divulgadas, comunicou a empresa na quarta-feira (11/04).

Diversos sites de segurança reportaram quatro novas vulnerabilidades, três afetando o Word 2007, logo após a Microsoft ter liberado suas correções mensais na terça-feira. A Microsoft alega que nenhuma das três supostas falhas “demonstra vulnerabilidade no Word 2007 ou qualquer produto do Office 2007”.

Além disso, a companhia reclamou que não foi comunicada antes das brechas se tornarem públicas, uma prática comum na indústria de segurança. Segundo o consultor da Sophos, Graham Cluley, pelo menos dois dos sites em questão já divulgaram falhas no passado sem notificar os fornecedores.

Duas das falhas supostamente permitem um ataque que cria condições similares às causadas por ataques de negação de serviço, com a CPU atingindo 100% de uso, segundo o site Security Vulnerabilities. A terceira vulnerabilidade pode permitir execução remota de código, e a quarta, que está ligada à extensão ".hlp" para arquivos de ajuda do Windows, pode levar a uma condição de estouro de pilha de tarefas, segundo o site.

Embora questione as supostas falhas no Word, a Microsoft reconheceu o problema com o formato .hlp, dizendo que ele é pouco seguro e executável – o que significa que roda códigos quando aberto. A empresa disse que os usuário devem ter cautela ao abrir e-mails não solicitados com arquivos .hlp.

A descoberta de supostas novas vulnerabilidades ocorre logo após a Microsoft liberar sete correções para falhas críticas na terça-feira (10/04). É comum os hackers deixarem para explorar novas vulnerabiliddaes logo após a liberação de patches pela Microsoft, sempre na segunda terça-feira do mês, para ganhar maior tempo para explorar as brechas, disse Greg Day, analista de segurança da McAfee.

“Está se tornando uma tendência comum”, disse ele. Os analistas apontam ainda que enquanto a Microsoft se ocupa em corrigir falhas no sistema operacional, os hackers estão procurando ativamente falhas em aplicativos do Office e outros.

Depois de um março tranqüilo, em que a empresa não liberou correções, abril tem se mostrado um mês complicado para Microsoft, que teve liberar uma correção extra em 3 de abril para uma falha em cursor animado.

*Jeremy Kirk é editor do IDG News Service, em Londres.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail