Sítio do Piropo

B. Piropo

< O Globo >
Volte
27/05/2002

< Novas Vulnerabilidades >
< no Internet Explorer
>


A velha luta de sempre: hackers descobrindo falhas de segurança nos programas de comunicação (principalmente da Microsoft, que detém o monopólio de fato do mercado) e desenvolvedores tentando corrigi-las. A última batalha começou há duas semanas e, ao que parece, ainda não terminou. Por segurança, vale a pena ter uma idéia do que está acontecendo.

Durante os meses de março e abril profissionais de segurança de dados detectaram e comunicaram à MS algumas falhas de segurança que afetavam as versões 5.01, 5.5 e 6 do Internet Explorer. Há cerca de duas semanas a MS liberou um “remendo” (“patch”) que, segundo ela, corrigia seis dessas vulnerabilidades. Trata-se do Security Update Q321232 disponível em <www.microsoft.com/windows/ie/downloads/critical/q321232/default.asp> desde o último dia 15 (para instalá-lo, escolha o idioma na caixa “Select Language”, clique no botão “Go” e, na página seguinte, escolha o atalho correspondente à versão instalada em sua máquina, baixe e execute o arquivo). Sempre que distribui um remendo, a MS publica um boletim de segurança sobre ele. Nesse caso foi o MS02-023 de 15/05/2002, em
<www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-023.asp>.
De acordo com ele, a periculosidade das vulnerabilidades corrigidas é relativamente pequena (todas estão descritas no boletim de segurança). Havia, no entanto, uma exceção: uma “cross-site scripting vulnerability” que permitia infiltrar código malicioso sob a forma de scripts HTML em páginas da internet ou mensagens de correio eletrônico. Dependendo do script, os danos poderiam ser graves. Porém, segundo afirmava a MS no boletim original, somente havia perigo se o usuário clicasse no atalho para executar o script.

Em 16 de maio, dia seguinte à publicação do boletim da MS, Thor Larholm, um respeitado especialista em segurança, enviou para a Bugtraq, uma não menos respeitada lista de discussão de vulnerabilidades de computadores (leia sua FAQ em <www.securityfocus.com/popups/forums/bugtraq/faq.shtml>), uma nota informando que havia furos no remendo da MS. Larholm negava que o script somente seria executado ao clicar em seu atalho, pois a falha permitia que isso ocorresse automaticamente ao se abrir uma mensagem no Outlook Express. Além disso, afirmava que somente foi corrigida a falha no IE6, permanecendo vulneráveis as versões 5.1 e 5.5. E que uma segunda falha, relativa ao suporte às Css (“Cascading Style Sheets”), embora incluída entre as seis vulnerabilidades corrigidas, permanecia ativa (visite o sítio de Larholm em <http://jscript.dk/>, um exemplo notável de simplicidade prenhe de conteúdo, e leia a nota em <http://jscript.dk/unpatched/MS02-023update.html>.

O peso dos nomes Bugtraq e Thor Larholm provocaram imediata repercussão. No mesmo dia, Sam Costello, da IDG News, publicou artigo questionando o “remendo furado” da MS (leia em <www.pcworld.com/news/article/0,aid,99924,00.asp>). E no dia seguinte fez-se ouvir a voz da própria MS: Jerry Bryant, da MS, postou no grupo de notícias sobre segurança da empresa uma nota na qual reconhecia que, de fato, a falha permitia que o script fosse executado automaticamente (o que levou à atualização do boletim MS02-023) mas contestava as demais alegações. Segundo Bryant, as falhas descritas na nota de Larholm de fato existiam, mas eram “novas variantes da vulnerabilidade, que jamais haviam sido submetidas à MS” (não sei se para o usuário faz diferença saber se uma falha de segurança é nova ou velha, mas enfim, fica a informação). E acrescentava que as novas falhas estavam sendo investigadas, que medidas seriam tomadas para eliminá-las e que, enquanto isso, sugeria enfaticamente que se aplicasse o “remendo” nas devidas versões do IE (leia a resposta de Bryant em <http://groups.google.com/groups?selm=ukVOh9d%24BHA.1696%40tkmsftngp05>).

E como estamos hoje? Bem, até a data em que escrevo não tive notícias de um novo remendo. Mas o Q321232 está disponível e eu sugiro instalá-lo. E ficar atento para os novos, já que assim que a MS corrigir estas, outras falhas serão descobertas e corrigidas e assim por diante. A luta continua. E continuará sempre.

Incidentalmente: se nessa altura dos acontecimentos você começa a se questionar sobre o uso do IE imaginando que ele é o único navegador vulnerável, sugiro uma visita à página <http://jscript.dk/unpatched/N050502-01.html> do próprio Larholm para saber a quantas anda a segurança do Netscape 6 e Galeon. É de arrepiar...

B. Piropo