Em outubro
passado, na primeira Worldwide Partners Conference, logo depois das
avassaladoras disseminações dos vírus SoBig e MSBlast
e cansada de ser alvo de críticas sobre as vulnerabilidades de
seus sistemas operacionais, a Microsoft divulgou sua nova política
de segurança. Cujo propósito pode ser sintetizado na frase
de Steve Ballmer, um dos principais executivos da empresa, ao anunciar
a novidade: “Nosso objetivo é simples: tornar nossos clientes
seguros e mantê-los seguros”.
Dito assim, parece fácil. Mas os fatos têm demonstrado
ser esse um alvo difícil de ser atingido.
O pacote incluiu várias medidas, como a redução
do número de correções que exigem a reinicialização
do sistema, habilitação do “firewall” por
padrão, incorporação a outros aplicativos da inibição
da execução de arquivos potencialmente perigosos (já
incorporada ao Outlook) e defesas aperfeiçoadas contra falhas
de memória tipo “buffer overflow”, implementadas
tanto no software quanto, se possível, no hardware (veja o artigo
sobre o assunto publicado aqui mesmo no Informátic@ e ainda disponível
na seção “Escritos” de meu sítio, em
<www.bpiropo.com.br>). Além disso a MS lançou uma
campanha de esclarecimento visando conscientizar seus usuários
sobre os problemas de segurança. Mas uma das principais alterações
foi a mudança na periodicidade da liberação de
correções de vulnerabilidades (“patches”,
ou “remendos”) dos sistemas, até então feita
semanalmente. Alegando que os anúncios das correções
chamavam a atenção dos malfeitores, que acabavam por se
aproveitar delas para deflagrar novas epidemias de vírus, e ressaltando
que intervalos mais longos facilitavam o trabalho dos responsáveis
pela manutenção dos sistemas, a MS determinou que as correções
passariam a ser liberadas mensalmente. Mais especificamente na segunda
terça-feira de cada mês.
A política vinha sendo mantida desde outubro. Mas foi rompida
abruptamente com a liberação inesperada de uma “atualização
de segurança cumulativa” para o Internet Explorer no último
dia dois de fevereiro (veja o boletim de segurança MS04-004 em
<http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS04-004.asp>).
E se a MS decidiu romper sua nova política de modo tão
radical, há de ter sido por boas razões. A mais importante
delas foi a descoberta de uma falha no modelo de segurança inter-domínios
(“cross-domain security model”) do IE, uma função
que impede a troca de informações entre janelas simultaneamente
abertas, porém pertencentes a diferentes domínios. A falha
permite que um biltre crie uma página mal intencionada e convença
– por exemplo, através de um atalho em uma mensagem de
correio eletrônico – vítimas incautas a visitá-la.
O que bastaria para abrir uma brecha através da qual a máquina
do visitante seria invadida e nela executado código mal intencionado,
que poderia instalar vermes ou cavalos de Tróia. Sendo uma atualização
cumulativa, ela visava ainda corrigir duas outras falhas. Uma delas,
menos grave, permite que um arquivo seja gravado no disco rígido
de um usuário após um simples clique em um atalho especialmente
criado para este fim em certas páginas (o arquivo seria transferido
e gravado independentemente de autorização e sem o conhecimento
do usuário, mas não seria executado). A outra era mais
séria: uma falha no sistema de “parsing” (análise)
de URLs (texto que contém um endereço da internet), que
permite alterar o conteúdo da barra título do IE fazendo
o usuário acreditar que está visitando um determinado
sítio quando na verdade está em outro. Se aproveitando
dela, habilidosos malfeitores fizeram um estrago de razoáveis
proporções atraindo milhares de internautas americanos
para uma página falsa da FDI (instituição americana
que oferece garantias contra eventuais “quebras” de bancos)
alegando que suas contas bancárias não estariam cobertas
a menos que eles atualizassem seus dados – que eram enviados para
um sítio pirata no Paquistão (veja artigo de Robert Lemos
em
<http://zdnet.com.com/2100-1105-5146716.html?tag=nl>
e leia artigo em português da base de dados da MS em
<http://support.microsoft.com/?id=833786>).
E então, quando se esperava a próxima atualização
de segurança apenas para março, eis que oito dias depois
da primeira a MS libera a segunda atualização de fevereiro
(veja o boletim de segurança MS04-007 em
<www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS04-007.asp>,
de onde também pode ser baixada a correção para
os diversos sistemas afetados), classificada como de severidade máxima.
Ela visa corrigir uma falha na biblioteca de funções da
ASN.1, (“Abstract Syntax Notation One”), um padrão
de formatação de dados usado por diversas aplicações
e dispositivos para normalizar a troca de informações
entre diferentes plataformas. Trata-se de mais uma vulnerabilidade do
tipo “buffer overrun” ou “buffer overflow”.
O problema é grave porque o código da ASN.1 é compartilhado
por aplicativos que rodam em todas as versões de Windows e, se
o “remendo” não for aplicado ao sistema, permite
que um usuário remoto assuma o controle da máquina indefesa,
especialmente se ela fizer parte de uma rede local.
A coisa é especialmente séria porque afeta máquinas
rodando todas as versões atuais de Windows, desde NT a XP, passando
por 2000 e Server 2003. Especialistas em segurança temem que,
se a correção não for aplicada rapidamente em um
número significativo de máquinas, pode se manifestar uma
disseminação de vermes tão séria quanto
o episódio do MSBlaster em meados do ano passado.
Se sua máquina roda um dos sistemas afetados, especialmente se
você for um administrador de rede, apresse-se para instalar a
correção (use a função “Windows Update”
ou vá diretamente à página onde ela pode ser obtida).
Pois como você vê, a coisa anda feia: com duas inesperadas
atualizações de segurança em menos de dez dias,
não dá para dar de ombros e cantarolar “tô
nem aí”...
B.
Piropo
