Página Inicial



twitter

Facebook

  Notícia
|

 

MICROSOFT ADMITE NÃO DIVULGAR TODOS OS BUGS QUE ENCONTRA

28/05/2010

A Microsoft não avisa sobre todas as vulnerabilidades de segurança que ela corrige em seus pacotes de software. Como consequência, as comparações entre empresas com base no número de bugs podem ter distorções.

"Nós não documentamos toda falha encontrada", disse o diretor do Centro de Resposta a Segurança da Microsoft (MSRC, na sigla em inglês), Mike Reavey, durante encontro com a imprensa na sede da companhia em Redmond (EUA).

A Microsoft disse atribuir um único identificador de Vulnerabilidades e Exposições Comuns (CVE) para vulnerabilidades ou falhas que compartilhem os mesmos níveis de gravidade, vetores de ataque e estratégias de contorno. Se diversas falhas tiverem as mesmas propriedades, elas não serão relatadas separadamente, disse Reavey.

A falta de transparência nas correções
veio à tona no começo do mês graças à uma empresa chamada Core Security Technologies. Depois de estudar as correções MS10-024 e MS10-028, ela notou três correções que não tinham sido divulgadas. O boletim de segurança MS10-028 era uma resposta a uma falha que poderia expor um usuário do Microsoft Visio a um ataque via sobrecarga de memória (buffer overflow), que permitiria a um hacker obter o controle do sistema.

Equivalentes
A Microsoft não forneceu informações sobre as falhas adicionais que foram corrigidas no boletim para o Visio porque "o vetor de ataque era o mesmo, o nível de gravidade era o mesmo. Da perspectiva do consumidor, a mesma estratégia - não abrir documentos do Visio provenientes de fontes suspeitas - se aplicava", disse Reavey à Webwereld, uma afiliada do IDG, em uma entrevista após a apresentação.

A Microsoft não avisa sobre todas as vulnerabilidades de segurança que ela corrige em seus pacotes de software. Como consequência, as comparações entre empresas com base no número de bugs podem ter distorções.

"Nós não documentamos toda falha encontrada", disse o diretor do Centro de Resposta a Segurança da Microsoft (MSRC, na sigla em inglês), Mike Reavey, durante encontro com a imprensa na sede da companhia em Redmond (EUA).

A Microsoft disse atribuir um único identificador de Vulnerabilidades e Exposições Comuns (CVE) para vulnerabilidades ou falhas que compartilhem os mesmos níveis de gravidade, vetores de ataque e estratégias de contorno. Se diversas falhas tiverem as mesmas propriedades, elas não serão relatadas separadamente, disse Reavey.

A falta de transparência nas correções
veio à tona no começo do mês graças à uma empresa chamada Core Security Technologies. Depois de estudar as correções MS10-024 e MS10-028, ela notou três correções que não tinham sido divulgadas. O boletim de segurança MS10-028 era uma resposta a uma falha que poderia expor um usuário do Microsoft Visio a um ataque via sobrecarga de memória (buffer overflow), que permitiria a um hacker obter o controle do sistema.

Equivalentes
A Microsoft não forneceu informações sobre as falhas adicionais que foram corrigidas no boletim para o Visio porque "o vetor de ataque era o mesmo, o nível de gravidade era o mesmo. Da perspectiva do consumidor, a mesma estratégia - não abrir documentos do Visio provenientes de fontes suspeitas - se aplicava", disse Reavey à Webwereld, uma afiliada do IDG, em uma entrevista após a apresentação.
 
 
 
 
Fonte: IdgNow

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar