Total Security - www.totalsecurity.com.br
Microsoft sabia da falha em arquivos ANI
A empresa de segurança Determina afirmou que avisou a Microsoft sobre a nova falha no processamento de arquivos .ANI, descoberta esta semana na ativa pela McAfee, em dezembro do ano passado. A Microsoft confirmou que recebeu a notificação e que estava trabalhando com a Determina para lançar um patch, mas a gigante de softwares ainda não lançou uma correção quase 4 meses após ter sido informada do problema.
Em sua defesa, a Microsoft afirma que o extenso processo de desenvolvimento, teste de qualidade e localização dos patches leva muito tempo. Cada correção é um “desafio único” porque afeta partes diferentes do software e por isso pode causar conseqüências inesperadas em outros aplicativos se a correção não for testada com cuidado.
A falha no processamento de arquivos ANI é grave. Bloquear a extensão “.ani” não funciona porque os sites maliciosos podem utilizar qualquer extensão para o arquivo malicioso. Alguns dos sites que exploram a falha utilizam a extensão JPEG, comumente usada por fotos e figuras na web, de modo a dificultar o bloqueio.
A brecha também pode ser explorada via e-mail, mas somente usuários do Outlook 2002 e 2007 podem se proteger do problema desativando a exibição de mensagens HTML. Usuários do Outlook Express e do Windows Mail não estão protegidos completamente mesmo com esta configuração, de acordo com o SANS Internet Storm Center. Internautas que utilizarem outros clientes de e-mail ainda estão vulneráveis caso cliquem em um arquivo malicioso anexado.
A empresa de consultoria eEye lançou um patch temporário para usuários que querem se proteger da falha. Como o patch é disponibilizado por terceiros, a Microsoft não presta suporte. A eEye também afirma que o uso da correção é “por conta e risco” do usuário. O patch proibe que arquivos ANI sejam carregados a partir de uma pasta que não a de sistema.
De acordo com a Determina, é muito fácil explorar a falha até mesmo no Windows Vista e, em alguns casos, o Mozilla Firefox também pode estar vulnerável, já que a brecha se localiza em um componente do Windows e não dos navegadores web.
A Microsoft deve lançar as correções de segurança de abril no dia 10, mas a empresa pode considerar o lançamento de um patch fora de ciclo devido ao alto risco representado pelo problema. Mesmo assim, a empresa já teve quase 4 meses para corrigir a falha, então mesmo um patch “rápido” agora não seria supreendente.
Fonte: Linha Defensiva
Em sua defesa, a Microsoft afirma que o extenso processo de desenvolvimento, teste de qualidade e localização dos patches leva muito tempo. Cada correção é um “desafio único” porque afeta partes diferentes do software e por isso pode causar conseqüências inesperadas em outros aplicativos se a correção não for testada com cuidado.
A falha no processamento de arquivos ANI é grave. Bloquear a extensão “.ani” não funciona porque os sites maliciosos podem utilizar qualquer extensão para o arquivo malicioso. Alguns dos sites que exploram a falha utilizam a extensão JPEG, comumente usada por fotos e figuras na web, de modo a dificultar o bloqueio.
A brecha também pode ser explorada via e-mail, mas somente usuários do Outlook 2002 e 2007 podem se proteger do problema desativando a exibição de mensagens HTML. Usuários do Outlook Express e do Windows Mail não estão protegidos completamente mesmo com esta configuração, de acordo com o SANS Internet Storm Center. Internautas que utilizarem outros clientes de e-mail ainda estão vulneráveis caso cliquem em um arquivo malicioso anexado.
A empresa de consultoria eEye lançou um patch temporário para usuários que querem se proteger da falha. Como o patch é disponibilizado por terceiros, a Microsoft não presta suporte. A eEye também afirma que o uso da correção é “por conta e risco” do usuário. O patch proibe que arquivos ANI sejam carregados a partir de uma pasta que não a de sistema.
De acordo com a Determina, é muito fácil explorar a falha até mesmo no Windows Vista e, em alguns casos, o Mozilla Firefox também pode estar vulnerável, já que a brecha se localiza em um componente do Windows e não dos navegadores web.
A Microsoft deve lançar as correções de segurança de abril no dia 10, mas a empresa pode considerar o lançamento de um patch fora de ciclo devido ao alto risco representado pelo problema. Mesmo assim, a empresa já teve quase 4 meses para corrigir a falha, então mesmo um patch “rápido” agora não seria supreendente.
Fonte: Linha Defensiva
URL Fonte: http://www.totalsecurity.com.br/noticia/1789/visualizar/
Comentários