Microsoft já sabia de falha do "dia zero" havia meses, afirma

[RafaelSonyLock 18]

Vulnerabilidade que permite execução de código remoto via Internet Explorer foi corrigida em 8/12; versões 6 e 7 são afetadas pelo bug.

A Microsoft pode não ter sido tão rápida como pensavam os especialistas em segurança quando anunciou uma correção para o bug do "dia zero" do Internet Explorer (IE), 18 dias depois que o código que o explorava veio a público.

 

Segundo a VeriSign iDefense, a Microsoft tinha informações sobre a falha do navegador cerca de seis meses antes que o pesquisador de codinome "K4mr4n" publicasse o código de ataque na lista de discussão Bugtraq, em 20/11.

 

A Iniciativa Dia Zero (ZDI) da iDefense, um dos programas de caça a bugs mais conhecidos, revelou na quarta-feira, 9/12, que havia avisado a Microsoft em 9/6 sobre a vulnerabilidade, que permite que código remoto seja executado na máquina do usuário.

 

Duas versões

O IE6 e o IE7 são as duas únicas versões afetadas pelo bug. Juntas, elas respondem por aproximadamente 39% de todos os navegadores utilizados em novembro.

 

Três dias depois que K4mr4n publicou a prova de conceito que revelava a falha, a Microsoft confirmou que o código poderia mesmo ser utilizado.

 

Quando publicou a atualização de segurança MS09-072, a Microsoft atribuiu a descoberta do bug à iDefense.

 

Aos que não podem aplicar imediatamente a correção, a Microsoft e a iDefense recomendam desligar o JavaScript no IE. Além desse bug, a MS09-072 corrige outras quatro falhas no IE.

(Gregg Keizer)

 

Fonte: http://idgnow.uol.com.br/seguranca/2009/12/10/microsoft-ja-sabia-de-falha-do-dia-zero-havia-meses-afirma-verisign/

[Mário Monteiro 179]

Demoraram todo este tempo para corrigir a falha?

 

é um descaso

[Prog 183]

Ié?! :P