Publicada há 6 meses, brecha do XP e Vista segue sem correção
A Microsoft admitiu que uma vulnerabilidade nos sistemas Windows XP e Vista, divulgada há seis meses, ainda não foi reparada. Enquanto isso, um código de ataque (exploit) para a brecha circula pela web. A empresa não deixou claro se pretende corrigir a falha no pacote de atualizações Patch Tuesday, que será lançado na próxima terça-feira (14/100). Na quinta-feira (09/10), a Microsoft revisou o relatório de uma consultoria de segurança publicado pela primeira vez no dia 19 de abril sobre um bug no Windows XP e Vista, Server 2003 e Server 2008, que poderia ser explorado para dar privilégios em máquinas vulneráveis. "O código de ataque publicado mirava esta vulnerabilidade", confirmou Bill Sisk, gerente de comunicações do Security Response Center da Microsoft, em um post. A vulnerabilidade tem uma história complexa. No final de março, o pesquisador de segurança Cesar Cerrudo anunciou ter descoberto um bug que poderia deixar que crackers contornassem alguns dos esquemas de segurança nas mais recentes versões do sistema operacional, incluindo o Windows Server 2008. Na época, Sisk chamou o bug de Cerrudo de "falha de design" ao invés de vulnerabilidade e subestimou a ameaça. Só depois que Cerrudo apresentou suas descobertas em uma conferência de segurança em abril nos Emirados Árabes, a Microsoft mudou o tom e passou a chamar a falha de problema de segurança. Na quarta-feira (08/10), Cerrudo publicou um código 'prova de conceito' (PoC). "Basicamente, se você pode executar um código sob qualquer serviço no Windows Server 2003, você domina o sistema", disse Cerrudo em uma descrição divulgada no milw0rm.com. Além de não corrigir o problema, a Microsoft ainda continuava a ser evasiva sobre a correção. "Tomaremos as providências apropriadas para proteger seus clientes. Poderemos solucionar o problema por uma atualização, pelo pacote de correções mensais, ou ainda por uma atualização de segurança não programada, dependendo das necessidades dos consumidores", disse um porta-voz da empresa. No blog, Sisk não prometeu uma correção. "Continuaremos a monitorar a situação e publicar atualizações para os desenvolvedores e no blog MSRC assim que tivermos qualquer nova informação importante", disse ele. Computerworld, 13/10/08
