A empresa de segurança Determina afirmou que avisou a Microsoft sobre a nova falha no processamento de arquivos .ANI, descoberta esta semana na ativa pela McAfee, em dezembro do ano passado. A Microsoft confirmou que recebeu a notificação e que estava trabalhando com a Determina para lançar um patch, mas a gigante de softwares ainda não lançou uma correção quase 4 meses após ter sido informada do problema.

Em sua defesa, a Microsoft afirma que o extenso processo de desenvolvimento, teste de qualidade e localização dos patches leva muito tempo. Cada correção é um “desafio único” porque afeta partes diferentes do software e por isso pode causar conseqüências inesperadas em outros aplicativos se a correção não for testada com cuidado.

A falha no processamento de arquivos ANI é grave. Bloquear a extensão “.ani” não funciona porque os sites maliciosos podem utilizar qualquer extensão para o arquivo malicioso. Alguns dos sites que exploram a falha utilizam a extensão JPEG, comumente usada por fotos e figuras na web, de modo a dificultar o bloqueio.

A brecha também pode ser explorada via e-mail, mas somente usuários do Outlook 2002 e 2007 podem se proteger do problema desativando a exibição de mensagens HTML. Usuários do Outlook Express e do Windows Mail não estão protegidos completamente mesmo com esta configuração, de acordo com o SANS Internet Storm Center. Internautas que utilizarem outros clientes de e-mail ainda estão vulneráveis caso cliquem em um arquivo malicioso anexado.

A empresa de consultoria eEye lançou um patch temporário para usuários que querem se proteger da falha. Como o patch é disponibilizado por terceiros, a Microsoft não presta suporte. A eEye também afirma que o uso da correção é “por conta e risco” do usuário. O patch proibe que arquivos ANI sejam carregados a partir de uma pasta que não a de sistema.

De acordo com a Determina, é muito fácil explorar a falha até mesmo no Windows Vista e, em alguns casos, o Mozilla Firefox também pode estar vulnerável, já que a brecha se localiza em um componente do Windows e não dos navegadores web.

A Microsoft deve lançar as correções de segurança de abril no dia 10, mas a empresa pode considerar o lançamento de um patch fora de ciclo devido ao alto risco representado pelo problema. Mesmo assim, a empresa já teve quase 4 meses para corrigir a falha, então mesmo um patch “rápido” agora não seria supreendente.

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.