Pesquisador do Google publica código que explora falha no Windows

websolutti 04-06-2013

O pesquisador de segurança empregado pelo Google, Tavis Ormandy, havia pedido “ajuda” para explorar uma falha do sistema operacional Windows em uma lista de discussão pública. A ajuda veio, e Ormandy publicou no domingo (2) um código completo capaz de explorar a vulnerabilidade. Com o código, qualquer usuário do Windows pode obter acesso administrativo, mesmo que utilizando uma conta de usuário sem essa permissão.

Pragas digitais podem usar a brecha para burlar as proteções do sistema e inutilizar o Controle de Contas de Usuário (UAC) ou o uso de uma conta limitada. Mas quando as permissões do sistema são elevadas, o vírus tem mais opções para se instalar. Pode ainda desativar antivírus e outros softwares de segurança. Além do código disponibilizado por Ormandy, há um segundo código disponível na web para tirar proveito da mesma falha.

O site de segurança alemão “Heise Security” testou o código e comprovou sua eficácia. A Microsoft foi procurado pelo “Heise”, e a empresa informou que estava investigando o problema. Até o momento, não publicou um alerta oficial.

De acordo com a publicação de Ormandy, os detalhes técnicos da falha eram conhecidos desde março de 2013, mas nenhum código capaz de explorá-la havia sido desenvolvido.

A postura de Ormandy é chamada por especialistas de “revelação completa” (“full disclosure”, em inglês) e ocorre quando detalhes de uma vulnerabilidade são divulgados antes que o desenvolvedor do software (a Microsoft, nesse caso) possa corrigir o problema.

O Google é a favor da “revelação responsável” (“responsible disclosure”, em inglês), na qual o desenvolvedor do software deve ser avisado de maneira particular antes que detalhes de uma brecha sejam divulgados.

O Google adota uma política em que deve haver aviso prévio de pelo menos sete dias antes que detalhes sejam divulgados – prazo que seria insuficiente para a Microsoft, por exemplo, fornecer uma solução já que disponibiliza atualizações de segurança apenas uma vez por mês.

Ormandy, porém, publicou os detalhes da falha como pesquisador independente, sem usar o nome do Google. O especialista é conhecido por revelar brechas sem aguardar o lançamento de uma atualização.

Em 2010, Ormandy teve a mesma atitude com a Oracle, desenvolvedora do Java, e também com a Microsoft, com outra falha no Windows. Na ocasião, a Microsoft disse que as ações do pesquisador devem representar os valores do Google, e explicou que não poderia ter corrigido a falha tão rapidamente quando Ormandy gostaria, porque a solução proposta por ele poderia ser facilmente burlada.

Fonte: G1 Tecnologia

Tags: , , , ,

More Stories

Microsoft se junta Linux Foudation

websolutti 18-11-2016 0

Instalando Vestacp no ubuntu 14.04

websolutti 09-11-2016 0

Auditando o Hardening e Segurança do Linux com Lynis

websolutti 10-12-2015 0

You may have missed

Contas públicas têm superávit recorde de R$ 44,12 bi em janeiro

websolutti 28-02-2020 0

Google irá parar de verificar seu Gmail para fins de publicidade

websolutti 30-06-2017 0

Microsoft se junta Linux Foudation

websolutti 18-11-2016 0

Instalando Vestacp no ubuntu 14.04

websolutti 09-11-2016 0

Facebook está lançando outro clone de Snapchat

websolutti 09-11-2016 0