Framigham - Porta-voz diz que correção poderia tornar inoperantes os aplicativos baseados em rede. Patch ocorreu quando risco foi minimizado.
A Microsoft explicou na quarta-feira (11/11) por que levou mais de sete anos para reparar uma falha. Eles disseram que apenas há um ano descobriram como corrigir o bug sem destruir a maioria dos aplicativos baseados na rede.
O problema num componente do Windows chamado Server Message Block (SMB), usado para compartilhar documentos e arquivos via redes de computadores, foi reparado na atualização da última terça-feira (10/11). A falha deixava redes corporativas vulneráveis por meio de um malware enviado por e-mail que poderia roubar as credenciais de autenticação da vítima.
Em um texto postado no blog Microsoft Security Response Center (MSRC), o porta-voz Christopher Budd reconheceu a vulnerabilidade de sete anos. "Quando este problema foi levantado em 2001, dissemos que poderíamos não fazer as mudanças necessárias para corrigi-las sem impactar negativamente os aplicativos baseados na rede. Para ser claro, o impacto poderia deixar muitos, até mesmo todos os aplicativos inoperantes", disse Budd.
Em vez de interromper os aplicativos, a Microsoft descartou a correção e disse às empresas que elas poderiam se proteger usando uma assinatura SMB, apesar de esta não ser uma solução suficiente. "A realidade é que havia obstáculos semelhantes que tornaram impraticável para clientes implementarem a assinatura SMB" admitiu Budd.
Ao mesmo tempo, o "SMB relay attacks", nome dado ao ataque quando ele foi comprovado por um cracker em 2001, foi possível.
Mas a Microsoft não se deixou levar pela questão, disse Budd. "Ao longo do ano passado, no entanto, o contínuo trabalho nos mostrou um modo de resolver a questão descrita no ataque e também minimizou o impacto nos aplicativos em rede". O resultado foi a correção da última terça-feira.
Para especialistas como Eric Schultze, da empresa de segurança Shavlik Technologies LLC, que trabalhou na falha assim que foi descoberta, parece que a Microsoft foi simplória sobre isso por um tempo. "Poderíamos ter resolvido isso em poucos meses se tivéssemos usado a cabeça. Estou contente pelo bug ter sido consertado, mas isso poderia ter sido reparado na época", disse ele.
Gregg Keizer, editor da Computerworld, dos EUA.
Nenhum comentário:
Postar um comentário