A empresa de segurança Determina afirmou que avisou a Microsoft sobre a nova falha no processamento de arquivos .ANI, descoberta esta semana na ativa pela McAfee, em dezembro do ano passado. A Microsoft confirmou que recebeu a notificação e que estava trabalhando com a Determina para lançar um patch, mas a gigante de softwares ainda não lançou uma correção quase 4 meses após ter sido informada do problema.

Em sua defesa, a Microsoft afirma que o extenso processo de desenvolvimento, teste de qualidade e localização dos patches leva muito tempo. Cada correção é um “desafio único” porque afeta partes diferentes do software e por isso pode causar conseqüências inesperadas em outros aplicativos se a correção não for testada com cuidado.

A falha no processamento de arquivos ANI é grave. Bloquear a extensão “.ani” não funciona porque os sites maliciosos podem utilizar qualquer extensão para o arquivo malicioso. Alguns dos sites que exploram a falha utilizam a extensão JPEG, comumente usada por fotos e figuras na web, de modo a dificultar o bloqueio.

A brecha também pode ser explorada via e-mail, mas somente usuários do Outlook 2002 e 2007 podem se proteger do problema desativando a exibição de mensagens HTML. Usuários do Outlook Express e do Windows Mail não estão protegidos completamente mesmo com esta configuração, de acordo com o SANS Internet Storm Center. Internautas que utilizarem outros clientes de e-mail ainda estão vulneráveis caso cliquem em um arquivo malicioso anexado.

A empresa de consultoria eEye lançou um patch temporário para usuários que querem se proteger da falha. Como o patch é disponibilizado por terceiros, a Microsoft não presta suporte. A eEye também afirma que o uso da correção é “por conta e risco” do usuário. O patch proibe que arquivos ANI sejam carregados a partir de uma pasta que não a de sistema.

De acordo com a Determina, é muito fácil explorar a falha até mesmo no Windows Vista e, em alguns casos, o Mozilla Firefox também pode estar vulnerável, já que a brecha se localiza em um componente do Windows e não dos navegadores web.

A Microsoft deve lançar as correções de segurança de abril no dia 10, mas a empresa pode considerar o lançamento de um patch fora de ciclo devido ao alto risco representado pelo problema. Mesmo assim, a empresa já teve quase 4 meses para corrigir a falha, então mesmo um patch “rápido” agora não seria supreendente.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s