Home > Notícias

Após críticas, Microsoft anuncia correção de falha no protocolo URI

Empresa havia dito que correção devia ser feita por desenvolvedores das aplicações

Por IDG News Service/EUA

11/10/2007 às 15h37

Foto:

A Microsoft planeja corrigir uma falha no protocolo URI (do inglês Uniform Resource Identifier) do sistema operacional Windows, anunciou a empresa na quarta-feira (10/10).

Leia mais:

A tecnologia URI permite que os usuários do Windows iniciem programas por meio de links nos navegadores.

Em julho, o pesquisador de segurança Thor Larholm mostrou como um browser poderia ser enganado e enviar dados maliciosos para o Firefox usando esta tecnologia.
O bug permite também que um atacante rodasse softwares não-autorizados no PC da vítima.

Além de Larholm, outros pesquisadores começaram a explorar como alcançar resultados similares, explorando a vulnerabilidade também pelo Outlook Express 6 e Adobe Reader 8.1.

O problema está na forma com que o software do PC “limpa” estes links para ter a certeza de que os crackers não consigam inserir códigos maliciosos neles.
A Microsoft afirmou, antes desta decisão, que a correção era de responsabilidade dos desenvolvedores dos programas abertos com a ferramenta.

“Desde que começamos a investigação em julho, as discussões sobre o potencial de uso destes ataques aumentaram”, escreveu Jonathan Ness, da Microsoft, em um post.
“Para ajudar a endereçar estas confusões, lançamos o Security Advisory 94351 para alertar os clientes sobre os riscos associados a esta questão e informá-los que trabalhamos em uma atualização de segurança”, continuou.

O upgrade irá mudar uma função do Windows conhecida como ShellExecute() para “limpar” os links que está processando, adicionou Ness.

A Microsoft não conseguirá, com a correção, ajustar todos os problemas que eram gerados pela falha, segundo o pesquisador da Ernst & Young Global, Nathan McFeters. Ele afirma que a forma como as aplicações lidam com os links está fora do controle da Microsoft.

A empresa não revelou quando irá ajustar a falha do protocolo URI. A próxima atualização geral de segurança está agendada para 13 de novembro.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail