Home > Notícias

Microsoft corrige os primeiros bugs em gadgets do Windows Vista

Falhas nos gadgets de leitura de RSS, previsão do tempo e contatos do Vista marcam a chegada das ameaças da próxima geração

Por Gregg Keizer, para o IDG Now!*

16/08/2007 às 18h11

Foto:

Falhas nos gadgets de leitura de RSS, previsão do tempo e contatos do Vista marcam a chegada das ameaças da próxima geração

O pacote de correções divulgado na terça-feira (14/08) pela Microsoft incluiu três falhas nos gadgets do Windows Vista, aplicações no desktop que trazem informações de programas ou da web. Para especialistas, os novos alvos indicam a chegada das vulnerabilidades da nova geração.

As falhas descritas em um dos nove boletins de ontem poderiam permitir o ataque com códigos maliciosos, afirma a Microsoft. Os gadgets afetados são o leitor RSS, o de contatos e de previsão do tempo. As vulnerabilidades com o leitor RSS e a previsão do tempo são particularmente perigosas, pois ambos são ativados em uma instalação normal do Vista.

“Se um usuário assina um RSS malicioso no Feed Headlines Gadget, um contato malicioso no Contacts Gadget ou mesmo clica em um link perigoso no Weather Gadget um malfeitor poderia rodar um código no sistema”, a Microsoft destaca no boletim.

Muitos pesquisadores voltaram-se não para as falhas, mas sim ao fato de terem sido executadas nos gadgets do Vista.

“Há cerca de seis meses começamos a discutir sobre os novos tipos de vulnerabilidades que encontraríamos”, diz o diretor do laboratório de pesquisa de vulnerabilidades Qualys, Amol Sarwate. “Essas falhas confirmam a chegada desta nova geração.”

Segundo Tyler Reguly, pesquisador da nCircle Network Security, quando um usuário assina um endereço RSS ele está, de maneira implícita, confiando naquele endereço. “Essa vulnerabilidade se aproveita dessa relação de confiança.”

Reguly acredita que essa falha do gadget de RSS é uma previsão de tempos difíceis. “Isso não é como clicar em um link no Internet Explorer, essa ação é pré-aprovada.”

Embora essas atualizações sejam as primeiras para ferramentas da Microsoft, gadgets defeituosos não são novidade. Em julho, por exemplo, o Yahoo Widgets foi anunciado com uma vulnerabilidade crítica associada ao controle ActiveX.

*Gregg Keizer é editor do Computerworld em Framingham

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail