Sex, 10 Jul - 11h58
A Microsoft informou nesta quinta-feira (9/7) ter conhecimento - há mais de um ano - de uma falha responsável pela disseminação de um ataque pelo navegador Internet Explorer (IE). Mesmo assim, se defendeu de críticas recebidas quanto ao seu processo de segurança.
O diretor do Centro de Segurança da empresa, Mike Reavey, afirmou que a companhia recebeu o primeiro relato de uma falha crítica no controle ActiveX, que atinge as versões IE6 e IE7 para Windows X, entre março e abril de 2008.
Quinze meses é tempo demais para que os usuários recebam uma solução. É aceitável. Não deveria levar nem um ano para uma companhia do tamanho da Microsoft, diz o analista de segurança da consultoria Gartner, John Pescatore.
O diretor da Microsoft explica que uma investigação começa toda vez que uma vulnerabilidade é reportada e não apenas para olhar a falha, mas descobrir outros problemas em torno dela e oferecer a maior proteção possível. Mas concordou que o prazo está acima da média. O tempo não é o normal. A maioria das vulnerabilidades é corrigida antes mesmo de ser explorada em ataques, diz Reavey.
Mas não foi o que aconteceu dessa vez. Crackers estão usando a falha no ActiveX para levar usuários a visitar sites maliciosos ou implantar códigos maliciosos em sites legítimos.
Na segunda-feira (6/7), a Microsoft publicou, como medida preventiva, uma ferramenta gratuita que simplesmente desabilita do controle ActiveX das versões atingidas do navegador. A medida, na opinião do analista do Gartner, não é realista, principalmente para empresas, pois exige que se entre no site da companhia, baixe a correção e a instale em cada PC.
A Microsoft anunciou que lançará finalmente uma correção para a falha, mas Reavey não confirmou se ela será divulgada junto ao pacote mensal de segurança da companhia, o Patch Tuesday, programado para a próxima terça-feira (14/7), ou se será uma correção fora da programação.
Fonte: MACWORLD
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário