Por IDG News Service, EUA

Uma séria falha de segurança na plataforma Lotus Notes, da IBM, pode permitir que sejam rodados softwares não autorizados em um PC atacado. A descoberta foi feita por pesquisadores da Core Security Technologies.

A falha reside no programa Autonomy Keyview, usado pelo Notes para processar arquivos do Lotus 1-2-3. Para tomar controle da máquina atacada, é preciso que o usuário abra um anexo desenvolvido especificamente para esse fim, em Lotus 1-2-3.

Apesar de detalhes sobre a vulnerabilidade ainda não terem sido publicados - e nem, aparentemente, descoberto e usado por criminosos online -, não seria difícil que hackers desenvolvessem código para explorar a falha, na avaliação de Ivan Arce, cTO da Core. "Ao longo do ano foram descobertas outros bugs no Keyview. Logo, quem está atento não deve levar muito tempo para se aproveitar da falha", afirma o especialista.

Nos últimos anos, esse tipo de ataque, chamados de bugs de análise de arquivos, vem se tornando muito comum. A companhia alemã de segurança n.runs AG garante que tais falhas podem tornar diversos produtos menos seguros do que se estima. A companhia encontrou, nos últimos dois anos, nada menos que 80 vulnerabilidades de análise de arquivos em antivirus de grandes fornecedores, segundo Thierry Zoller e Sergio Alvarez, pesquisadores da companhia.

A falha descoberta pode afetar, ainda, outros produtos além do Lotus Notes, segundo a Core. Isso porque o Keyview - tecnologia que pode ser usada para visualizar e imprimir arquivos em mais de 300 formatos - é usado por diversas ferramentas. Mais de 300 empresas, entre elas Symantec e Oracle, usam o Keyview.

Outros destaques do COMPUTERWORLD:
> Segurança corporativa: código aberto é mais frágil?
> Comunicadores instantâneos têm 78% mais ataques
> Novo scam vende casa inexistente pela internet
> Javascript malicioso se altera para fugir de detecção
> Firewall gratuito tem o melhor desempenho em teste

A IBM reconheceu o problema em seu último boletim de segurança e já está oferecendo um patch para usuários do Notes 7. Para clientes que usam versões anteriores do software, a companhia sugere diveras correções, inclusive a deleção de arquivos Windows DLL associados ao Notes.