Em vez de corrigir bugs, Microsoft abandona Indeo depois de 17 anos

[RafaelSonyLock 18]

Acesso ao codec de vídeo é bloqueado no IE e no Windows Media Player; games de vídeo que usam o codec não são afetados.

Um aviso de segurança emitido pela Microsoft na terça-feira (8/12) – mesmo dia em que lançou o Patch Tuesday de dezembro –, mostra um movimento incomum por parte da empresa e que irá bloquear o acesso ao Indeo pelo Internet Explorer e Windows Media Player. O Indeo é um codec de vídeo, software que faz a compressão e descompressão de arquivos de vídeo. O bloqueio também impede que outras aplicações com acesso à web carreguem o codec. Aplicações em disco, tais como games, que ainda utilizem o codec Indeo irão funcionar normalmente, informa a Microsoft.

 

Não está claro a quantidade de vulnerabilidades não corrigidas que o Indeo possui, mas pelo menos duas empresas de segurança – Verisign iDefense e Fortinet – emitiram alertas de bugs na semana passada. A vulnerabilidade citada pela iDefense já havia sido comunicada à Microsoft há mais de um ano.

 

A atualização de bloqueio foca apenas as versões mais antigas do sistema operacional: Windows 2000, Windows XP e Windows Server 2003. O Vista, o Windows 7 e o Windows Server 2008 já impediam a carga do codec, que foi lançado pela Intel em 1992.

 

Ao impedir o acesso ao codec pelo Internet Explorer e pelo Windows Media Player, informa a Microsoft, a empresa está protegendo os usuários de vetores de ataques conhecidos, que poderiam ocorrer quando se visita sites maliciosos.

 

Não é comum a Microsoft, em vez de corrigir uma vulnerabilidade conhecida, desabilitá-la. “Está é uma ocorrência rara e é desafiador remover funcionalidades de produtos que os usuários ainda em utilização sem afetar os aplicativos existentes”, informou um porta-voz da Microsoft por e-mail na quinta-feira (10/12).

 

Emitir uma correção para o codec, no entanto, não faria muito sentido, na opinião do diretor de pesquisas de vulnerabilidades de segurança da Qualys, Richie Lai. “A Microsoft já havia feito essa mudança no Vista e no Windows 7, e o Indeo é raramente utilizado”, disse ele, acrescentando que a ação visa mais diminuir a “superfície de ataque”.

 

Essa não é a primeira vez que a Microsoft desiste de publicar correções para vulnerabilidades. Em setembro, a empresa anunciou que a correção de uma falha de implementação de TCP/IP no Windows 2000 Server SP4 era inviável porque “requereria reprojetar uma quantidade significativa do código do sistema operacional” e isso significava “não poder garantir que aplicações criadas para rodar no Windows 2000 Server SP4 iram continuar funcionando no sistema atualizado”.

 

O porta-voz da Microsoft informou ainda que a empresa acredita que ações desta natureza irá proporcionar mais segurança aos usuários do que o endereçamento de instâncias individuais de vulnerabilidade.

 

“Talvez esta seja uma nova tendência”, afirma o gerente do time de dados e segurança da Shavlik Technologies.

 

O bloqueio ao Indeo chega aos usuários por meio do mecanismo de atualização automática Windows Update.

 

Fonte: http://pcworld.uol.com.br/noticias/2009/12/14/em-vez-de-corrigir-bugs-microsoft-abandona-indeo-depois-de-17-anos/