O pesquisador de segurança empregado pelo Google, Tavis Ormandy, havia pedido “ajuda” para explorar uma falha do sistema operacional Windows em uma lista de discussão pública. A ajuda veio, e Ormandy publicou no domingo (2) um código completo capaz de explorar a vulnerabilidade. Com o código, qualquer usuário do Windows pode obter acesso administrativo, mesmo que utilizando uma conta de usuário sem essa permissão.
Pragas digitais podem usar a brecha para burlar as proteções do sistema e inutilizar o Controle de Contas de Usuário (UAC) ou o uso de uma conta limitada. Mas quando as permissões do sistema são elevadas, o vírus tem mais opções para se instalar. Pode ainda desativar antivírus e outros softwares de segurança. Além do código disponibilizado por Ormandy, há um segundo código disponível na web para tirar proveito da mesma falha.
O site de segurança alemão "Heise Security" testou o código e comprovou sua eficácia. A Microsoft foi procurado pelo "Heise", e a empresa informou que estava investigando o problema. Até o momento, não publicou um alerta oficial.
De acordo com a publicação de Ormandy, os detalhes técnicos da falha eram conhecidos desde março de 2013, mas nenhum código capaz de explorá-la havia sido desenvolvido.
A postura de Ormandy é chamada por especialistas de "revelação completa" ("full disclosure", em inglês) e ocorre quando detalhes de uma vulnerabilidade são divulgados antes que o desenvolvedor do software (a Microsoft, nesse caso) possa corrigir o problema.
O Google é a favor da "revelação responsável" ("responsible disclosure", em inglês), na qual o desenvolvedor do software deve ser avisado de maneira particular antes que detalhes de uma brecha sejam divulgados.
O Google adota uma política em que deve haver aviso prévio de pelo menos sete dias antes que detalhes sejam divulgados - prazo que seria insuficiente para a Microsoft, por exemplo, fornecer uma solução já que disponibiliza atualizações de segurança apenas uma vez por mês.
Ormandy, porém, publicou os detalhes da falha como pesquisador independente, sem usar o nome do Google. O especialista é conhecido por revelar brechas sem aguardar o lançamento de uma atualização.
Em 2010, Ormandy teve a mesma atitude com a Oracle, desenvolvedora do Java, e também com a Microsoft, com outra falha no Windows. Na ocasião, a Microsoft disse que as ações do pesquisador devem representar os valores do Google, e explicou que não poderia ter corrigido a falha tão rapidamente quando Ormandy gostaria, porque a solução proposta por ele poderia ser facilmente burlada.
Fonte: Rohr, Altieres . "G1 - Pesquisador do Google publica código que explora falha no Windows - noticias em Tecnologia e Games." G1 - O portal de noticias da Globo . http://g1.globo.com/tecnologia/noticia/2013/06/pesquisador-do-google-publica-codigo-que-explora-falha-no-windows.html (accessed June 5, 2013).
Nenhum comentário:
Postar um comentário
deixe aqui seu comentário