Página Inicial



twitter

Facebook

  Notícia
|

 

MICROSOFT JÁ SABIA DE FALHA DO ´DIA ZERO´ HAVIA MESES, AFIRMA VERISIGN

11/12/2009 01:00:00

A Microsoft pode não ter sido tão rápida como pensavam os especialistas em segurança quando anunciou uma correção para o bug do "dia zero" do Internet Explorer (IE), 18 dias depois que o código que o explorava veio a público.

Segundo a VeriSign iDefense, a Microsoft tinha informações sobre a falha do navegador cerca de seis meses antes que o pesquisador de codinome "K4mr4n" publicasse o código de ataque na lista de discussão Bugtraq, em 20/11.

A Iniciativa Dia Zero (ZDI) da iDefense, um dos programas de caça a bugs mais conhecidos, revelou na quarta-feira, 9/12, que havia avisado a Microsoft em 9/6 sobre a vulnerabilidade, que permite que código remoto seja executado na máquina do usuário.

Duas versões
O IE6 e o IE7 são as duas únicas versões afetadas pelo bug. Juntas, elas respondem por aproximadamente 39% de todos os navegadores utilizados em novembro.

Três dias depois que K4mr4n publicou a prova de conceito que revelava a falha, a Microsoft confirmou que o código poderia mesmo ser utilizado.

Quando publicou a atualização de segurança MS09-072, a Microsoft atribuiu a descoberta do bug à iDefense.

Aos que não podem aplicar imediatamente a correção, a Microsoft e a iDefense recomendam desligar o JavaScript no IE. Além desse bug, a MS09-072 corrige outras quatro falhas no IE.




Fonte: IdgNow

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar