COMPUTERWORLD - O portal voz do mercado de TI e Comunicação

A central de whitepapers de tecnologia da COMPUTERWORLD

Segurança

Publicada há 6 meses, brecha do XP e Vista segue sem correção

Após subestimar ameaça anunciada por pesquisador argentino em abril, Microsoft não garante se corrigirá bug do sistema.

ComputerWorld, EUA

13 de outubro de 2008 - 11h23

página 1 de 1

A Microsoft admitiu que uma vulnerabilidade nos sistemas Windows XP e Vista, divulgada há seis meses, ainda não foi reparada. Enquanto isso, um código de ataque (exploit) para a brecha circula pela web.

A empresa não deixou claro se pretende corrigir a falha no pacote de atualizações Patch Tuesday, que será lançado na próxima terça-feira (14/100).

Na quinta-feira (09/10), a Microsoft revisou o relatório de uma consultoria de segurança publicado pela primeira vez no dia 19 de abril sobre um bug no Windows XP e Vista, Server 2003 e Server 2008, que poderia ser explorado para dar privilégios em máquinas vulneráveis.

"O código de ataque publicado mirava esta vulnerabilidade", confirmou Bill Sisk, gerente de comunicações do Security Response Center da Microsoft, em um post.

A vulnerabilidade tem uma história complexa. No final de março, o pesquisador de segurança Cesar Cerrudo anunciou ter descoberto um bug que poderia deixar que crackers contornassem alguns dos esquemas de segurança nas mais recentes versões do sistema operacional, incluindo o Windows Server 2008. Na época, Sisk chamou o bug de Cerrudo de "falha de design" ao invés de vulnerabilidade e subestimou a ameaça.

Só depois que Cerrudo apresentou suas descobertas em uma conferência de segurança em abril nos Emirados Árabes, a Microsoft mudou o tom e passou a chamar a falha de problema de segurança.

Na quarta-feira (08/10), Cerrudo publicou um código 'prova de conceito' (PoC). "Basicamente, se você pode executar um código sob qualquer serviço no Windows Server 2003, você domina o sistema", disse Cerrudo em uma descrição divulgada no milw0rm.com.

Além de não corrigir o problema, a Microsoft ainda continuava a ser evasiva sobre a correção. "Tomaremos as providências apropriadas para proteger seus clientes. Poderemos solucionar o problema por uma atualização, pelo pacote de correções mensais, ou ainda por uma atualização de segurança não programada, dependendo das necessidades dos consumidores", disse um porta-voz da empresa.

No blog, Sisk não prometeu uma correção. "Continuaremos a monitorar a situação e publicar atualizações para os desenvolvedores e no blog MSRC assim que tivermos qualquer nova informação importante", disse ele.

Widgets Computerworld

Coloque a Computerworld no seu site
Newsletters Computerworld

Assine as newsletters da Computerworld

As mais lidas

Dia

Semana

Mês

Cloud computing é difícil?

O ITBOARD materializa a nova plataforma de conversas do Século XXI. Concentra o diálogo sobre tecnologia e inovação movido a tweets de quem está imerso nesses assuntos. ENTRE NA CONVERSA

Copyright 2012 Now!Digital Business Ltda. Todos os direitos reservados.
A reprodução total ou parcial de qualquer meio ou forma sem expressa autorização por escrito da Now!Digital Business Ltda. é proibida. Computerworld é uma propriedade da International Data Group, Inc., licenciado pela Now!Digital Business Ltda.