Destaques

Solicite sua guia

Contribuição para Fortalecimento Sindical 2023

Programa Estagiário Legal

Tenha estagiários com segurança jurídica

Cadastre-se no TI Rio Notícias

Receba em seu e-mail pauta das assembleias, notícias do setor de TI, agenda de eventos e muito mais

Mais notícias

Solicite o recolhimento gratuito de lixo eletrônico20/06/2024

Contribuição Assistencial para o Fortalecimento Patronal - Mensagem de nosso Presidente18/06/2024

CAMPANHA LIXO ELETRÔNICO 202405/06/2024

Governo e Congresso chegam a acordo sobre desoneração da folha de 17 setores09/05/2024

Empresa de segurança contesta grau de risco de correção da Microsoft

10/05/2010

Consertados sem alarde, os 3 bugs foram considerados apenas 'importantes', o que pode levar administradores a ignorá-los, alerta Core Security.

A Microsoft, responsável pelo sistema operacional Windows, corrigiu, silenciosamente, três vulnerabilidade de seu software no último mês. Duas das atualizações afetaram os servidores de e-mail Exchange sem que os usuários fossem notificados, afirmou nessa quinta-feira (6/5) um especialista em segurança corporativa.

As correções foram incorporadas ao sistema com o nome de MS10-024, uma atualização lançada em 13/04, e classificadas como “importantes” pela empresa, o segundo grau de risco nos padrões Microsoft.

No entanto, para o chefe do escritório de tecnologia da Core Security Technologies, Ivan Arce, a companhia falhou ao não informar o real risco das vulnerabilidades.

“Elas eram mais importantes do que a Microsoft divulgou. Isso significa que alguns administradores de sistema podem acabar tomando decisões erradas na hora de aceitar as atualizações disponibilizadas”, disse.

Ação comum
Atualizações feitas silenciosamente não são novidade, tampouco são raras, diz Andrew Storms, diretor de operações de segurança da nCircle Security. “Isso tem ocorrido há muitos anos, não é nada conspiratório”.

O que não é usual é o fato de uma empresa de segurança, no caso a Core Security, ter tornado públicas as atitudes da Microsoft.

Dizendo que o risco da MS10-024 foi subestimado pela fabricante do Windows, a Core insistiu que as companhias devem rever as prioridades na implementação de correções de segurança.
A Microsoft admite o costume de corrigir brechas do sistema sem avisar os usuários - e defende a prática.

“Quando ela descobre uma falha, conduz uma profunda investigação e testa exaustivamente a correção antes de disponibilizá-la. Isso ajuda na redução do número de vezes que o usuário deve atualizar seu software. Mesmo assim, a Microsoft tenta perturbar o mínimo possível cada cliente, pois sabe como pode ser frustrante essas constantes interrupções”, explicou Jerry Bryant, gerente dos programas de segurança da empresa, por e-mail.

A verdade é que muitas empresas têm a mesma conduta. “Muitas vezes não é interessante para a empresa comunicar a descoberta de mais um bug”, conclui Bryant.

Riscos
Mesmo assim, Andrew Storm concorda com Arce sobre o perigo da norma. “A questão aqui é que a companhia deturpa a realidade, o que pode gerar um falso senso de segurança. Por exemplo, se uma correção for disponibilizada para o Internet Explorer 8 com a classificação “moderada”, quando, na realidade, ela é crítica, quanto tempo vai demorar para que o consumidor baixa a atualização já que não vê urgência na ação?”.

Arce completa: “Não há uma resposta fácil para essa polêmica. Se a Adobe distribuir uma correção crítica sem dar maiores informações, ficaremos exasperados por mais detalhes. Mas, de qualquer modo, temos que considerar a classificação dada pela companhia na hora de estipular a urgência da atualização”.

Para ver os comunicados da Core Security sobre o MS10-024, clique aqui.

Site: IDG Now!
Data: 06/05/2010
Hora: 20h18
Seção: segurança
Autor: Gregg Keizer
Link: http://idgnow.uol.com.br/seguranca/2010/05/06/empresa-de-seguranca-contesta-grau-de-risco-de-correcao-da-microsoft/paginador/pagina_2