sábado, 19 de dezembro de 2009

Em vez de consertar, Microsoft decide bloquear código vulnerável

Atualização de segurança impede carga do codec Indeo no Windows 2000, XP e Server 2003; falha poderia levar usuário a sites maliciosos.

A Microsoft decidiu desativar um codec de vídeo criado há 17 anos nas versões mais antigas do Windows, em vez de consertar as diversas vulnerabilidades que o afligiam, afirma a equipe de segurança da empresa.

Na terça-feira (8/12), mesmo dia em que publicou seis atualizações que consertavam 12 falhas, a Microsoft descreveu, em um aconselhamento de segurança, a medida incomum. Ela bloqueia a utilização do codec Indeo – software de compressão e descompressão de dados de vídeo – tanto pelo Internet Explorer como pelo Windows Media Player.

A atualização também impede que outras aplicações de acesso à internet carreguem o codec.

Não está claro quantas brechas o codec Indeo apresenta, mas pelo menos duas empresas de segurança – a VeriSign iDefense e a Fortinet – emitiram seus próprios alertas sobre o Indeo na terça-feira.

A vulnerabilidade descoberta pela iDefense foi relatada à Microsoft há mais de um ano.

Mais antigas
A atualização tem como alvo apenas as edições mais antigas do sistema da Microsoft: Windows 2000, Windows XP e Windows Server 2003. Windows Vista, Windows 7 e Windows Server 2008 barram a utilização do codec Indeo já na carga. A Intel lançou o Indeo em 1992.

Com o bloqueio do codec no IE e no Media Player, a Microsoft alega proteger o usuário de vetores de ataque conhecidos, e que poderiam levar as pessoas a visitar sites maliciosos.

Não é comum para a Microsoft contornar vulnerabilidades por meio do bloqueio do uso de peças de código. “É um fato raro, pois sempre é difícil decidir pela remoção de uma funcionalidade que os clientes usam costumeiramente, sem afetar as aplicações existentes”, admitiu um porta-voz da Microsoft na terça-feira, via e-mail.

Remendar o codec não faria muito sentido, disse o diretor de pesquisa de vulnerabilidade da empresa de segurança Qualys. “A Microsoft já havia aplicado essas mudanças no Vista e no Windows 7. Além disso, o Indeo é usado muito raramente”, defende Laid. “Eu vejo essa decisão mais como uma forma de reduzir a superfície de ataque.”

Superfície
A Microsoft tem visão semelhante. “Neste caso, nossas mudanças reduzem a superfície de ataque. Removemos a funcionalidade deste codec em vez de responder às vulnerabilidades específicas porque isso oferecia uma proteção mais ampla”, disse o porta-voz da empresa.

Não é a primeira vez que a Microsoft desistiu de consertar falhas. Em setembro, a Microsoft anunciou que consertar uma falha na implementação de TCP/IP  do Windows 2000 Server SP4 não seria a melhor saída, porque isso exigiria “a rearquitetura de uma quantidade muito significativa do sistema operacional Windows 2000 SP4”.

E, se fizesse isso “não haveria garantia de que as aplicações projetadas para rodar no sistema continuaria a operar depois da atualização”.

“Talvez essa seja uma nova tendência”, avalia Jason Miller, gerente de equipe de segurança e de dados da Shavlik Technologies, uma prestadora de serviços em gerenciamento de atualizações.

“Acreditamos que essa abordagem deve dar mais segurança aos clientes do que consertar cada uma das vulnerabilidades”, disse o porta-voz da Microsoft.

A atualização que bloqueia o codec Indeo foi distribuída aos usuários do Windows 2000, Windows XP e Server 2003 por meio do serviço automático Windows Update.




Fonte: IDG Now!

Nenhum comentário:

Postar um comentário

Deixe seu comentário, ele é muito importante