Página Inicial



twitter

Facebook

  Notícia
|

 

EMPRESA PÕE À VENDA FALHA DE SEGURANÇA NO WINDOWS 8

06/11/2012

Esse não é o tipo de anúncio que a maioria das pessoas entenderia. À venda: "Nosso primeiro 0 day para Win8+IE10 com HiASLR/AntiROP/DEP & Prot Mode sandbox bypass (não necessita Flash)". Essa é parte de uma mensagem recentemente divulgada no Twitter da Vupen, uma empresa francesa especializada em encontrar vulnerabilidades em softwares amplamente utilizados produzidos por companhias como a Microsoft, Apple, Adobe e Oracle.

A Vupen ocupa uma área obscura no ramo de pesquisa de segurança de computadores, vendendo vulnerabilidade para terceiros em governos e empresas, mas não compartilha os detalhes com os fornecedores dos softwares afetados. A francesa defende que essas informações ajudam organizações a se defenderem contra ataques de crackers e, em alguns casos, a jogar sujo também.

A Vupen encontrou problemas em algum lugar do novo sistema operacional da MS, o Windows 8, e também na nova versão do seu navegador, o Internet Explorer 10. A falha não foi publicamente divulgada pela companhia, ainda. A descoberta da empresa de segurança foi uma das primeiras vulnerabilidades no Windows 8, lançado na semana passada, e no IE10 - embora brechas já tenham sido encontradas em softwares de terceiros que rodam no OS.

O diretor de Computação Confiável da Microsoft, Dave Forstrom, disse que a companhia incentiva pesquisadores a participar do seu programa Coordinated Vulnerability Disclosure, o qual pede que as pessoas deem tempo para que a Microsoft possa corrigir o problema no software antes de divulgá-lo publicamente.

"Nós vimos o tuite, mas mais detalhes não foram compartilhados conosco", disse Forstrom em comunicado.

A mensagem da Vupen no microblog, postada na quarta-feira, implica uma vulnerabilidade que permitiria a um cracker passar pelas tecnologias de segurança contidas no Windows 8 , incluindo Address Space Layout Randomization (ASLR), anti-Return Oriented Programming e DEP (Data Execution Prevention). A companhia também indicou que a vulnerabilidade não está associada a problemas com o Flash, da Adobe.

"Certamente, se o bug for confirmado, então isso poderá ser um tapa na cara da Microsoft: ter seu mais seguro, novo e elogiado sistema operacional com falhas de segurança encontradas logo após o seu lançamento", afirmou o diretor de operações de segurança da nCircle, Andrew Storms. 

A oportunidade de mercado para uma exploração de sucesso pode ser limitada devido ao lançamento do Windows 8 ser recente, mas "por outro lado, ninguém confirmou se essa falha também funciona em uma versão anterior do Windows ou do internet Explorer", disse Storms.

O consultor senior da empresa de segurança HackLabs, Jody Melbourne, disse que a vulnerabilidade pode ser útil a um desenvolvedores de terceiros, interessado em roubar códigos de certificados de assinatura ou códigos-fonte.

Então, qual o valor da falha? É difícil dizer. A Vupen não publicou o preço, mas Melbourne disse que "o valor do bug apenas irá aumentar com o tempo, claro."

 
 
 
Fonte: PcWorld

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar