Por IDG News Service

Russ Cooper, cientista sênior da Verizon Business, critica o trabalho da n.runs. “A pesquisa quase que incita os criminosos a se aprimorar nos ataques a vulnerabilidades... o que dificilmente é útil”, afirma.

“Não há dúvida de que a lista de vulnerabilidades em produtos de segurança que eles já publicaram é assustadora. Mas, historicamente, não temos visto este tipo de vulnerabilidade ser explorado.”

Apesar de concordar que as vulnerabilidades de parsing de arquivo em software antivírus são um risco, Cooper diz que elas ainda não foram alvo de ataques disseminados de criminosos por várias razões.

Uma delas é que os criminosos já são suficientemente eficazes com suas atuais táticas, como o envio de anexos de e-mail maliciosos. Uma segunda razão é que software de segurança tende a ser mais fiscalizado. Qualquer vulnerabilidade explorada seria corrigida rapidamente e haveria maior probabilidade de o criminoso ser pego.

Os fornecedores de soluções de segurança conhecem há muito tempo as vulnerabilidades de seu software, de acordo com Marc Maiffret, chief technology officer da eEye Digital Security.

“Software de segurança é tão vulnerável quanto qualquer outro”, compara. “Todos nós contratamos os mesmos desenvolvedores que freqüentaram as mesmas universidades que os da Microsoft e aprenderam os mesmos maus hábitos.”