B. Piropo
< O Globo >
27/05/2002
<
Novas
Vulnerabilidades >
<
no
Internet Explorer
>
|
Sítio do Piropo B. Piropo |
< O Globo >
|
|
|
27/05/2002
|
<
Novas
Vulnerabilidades > |
|
A velha luta de sempre: hackers descobrindo falhas de segurança nos programas de comunicação (principalmente da Microsoft, que detém o monopólio de fato do mercado) e desenvolvedores tentando corrigi-las. A última batalha começou há duas semanas e, ao que parece, ainda não terminou. Por segurança, vale a pena ter uma idéia do que está acontecendo. Durante
os meses de março e abril profissionais de segurança
de dados detectaram e comunicaram à MS algumas falhas de
segurança que afetavam as versões 5.01, 5.5 e 6
do Internet Explorer. Há cerca de duas semanas a MS liberou
um “remendo” (“patch”) que, segundo ela, corrigia
seis dessas vulnerabilidades. Trata-se do Security Update Q321232
disponível em <www.microsoft.com/windows/ie/downloads/critical/q321232/default.asp>
desde o último dia 15 (para instalá-lo, escolha
o idioma na caixa “Select Language”, clique no botão
“Go” e, na página seguinte, escolha o atalho
correspondente à versão instalada em sua máquina,
baixe e execute o arquivo). Sempre que distribui um remendo, a
MS publica um boletim de segurança sobre ele. Nesse caso
foi o MS02-023 de 15/05/2002, em Em 16 de maio, dia seguinte à publicação do boletim da MS, Thor Larholm, um respeitado especialista em segurança, enviou para a Bugtraq, uma não menos respeitada lista de discussão de vulnerabilidades de computadores (leia sua FAQ em <www.securityfocus.com/popups/forums/bugtraq/faq.shtml>), uma nota informando que havia furos no remendo da MS. Larholm negava que o script somente seria executado ao clicar em seu atalho, pois a falha permitia que isso ocorresse automaticamente ao se abrir uma mensagem no Outlook Express. Além disso, afirmava que somente foi corrigida a falha no IE6, permanecendo vulneráveis as versões 5.1 e 5.5. E que uma segunda falha, relativa ao suporte às Css (“Cascading Style Sheets”), embora incluída entre as seis vulnerabilidades corrigidas, permanecia ativa (visite o sítio de Larholm em <http://jscript.dk/>, um exemplo notável de simplicidade prenhe de conteúdo, e leia a nota em <http://jscript.dk/unpatched/MS02-023update.html>. O peso dos nomes Bugtraq e Thor Larholm provocaram imediata repercussão. No mesmo dia, Sam Costello, da IDG News, publicou artigo questionando o “remendo furado” da MS (leia em <www.pcworld.com/news/article/0,aid,99924,00.asp>). E no dia seguinte fez-se ouvir a voz da própria MS: Jerry Bryant, da MS, postou no grupo de notícias sobre segurança da empresa uma nota na qual reconhecia que, de fato, a falha permitia que o script fosse executado automaticamente (o que levou à atualização do boletim MS02-023) mas contestava as demais alegações. Segundo Bryant, as falhas descritas na nota de Larholm de fato existiam, mas eram “novas variantes da vulnerabilidade, que jamais haviam sido submetidas à MS” (não sei se para o usuário faz diferença saber se uma falha de segurança é nova ou velha, mas enfim, fica a informação). E acrescentava que as novas falhas estavam sendo investigadas, que medidas seriam tomadas para eliminá-las e que, enquanto isso, sugeria enfaticamente que se aplicasse o “remendo” nas devidas versões do IE (leia a resposta de Bryant em <http://groups.google.com/groups?selm=ukVOh9d%24BHA.1696%40tkmsftngp05>). E como estamos hoje? Bem, até a data em que escrevo não tive notícias de um novo remendo. Mas o Q321232 está disponível e eu sugiro instalá-lo. E ficar atento para os novos, já que assim que a MS corrigir estas, outras falhas serão descobertas e corrigidas e assim por diante. A luta continua. E continuará sempre. Incidentalmente: se nessa altura dos acontecimentos você começa a se questionar sobre o uso do IE imaginando que ele é o único navegador vulnerável, sugiro uma visita à página <http://jscript.dk/unpatched/N050502-01.html> do próprio Larholm para saber a quantas anda a segurança do Netscape 6 e Galeon. É de arrepiar... B. Piropo |