Atualização de antivírus 'mata' arquivo do Windows e danifica

[Mário Monteiro 179]

Atualização de antivírus 'mata' arquivo do Windows e danifica sistema

Veja também: componente do IE8 que deixa sites vulneráveis.

Deixe dúvidas e comentários no post dedicado à coluna no blog do G1.

 

Altieres Rohr Especial para o G1*

 

Ferramentas de segurança também têm vulnerabilidades e, pior, às vezes causam mais problemas do que resolvem. Nesta semana, esse foi o caso para usuários do antivírus McAfee. Uma atualização fez com que o programa começasse a detectar o arquivo “svchost.exe” como um vírus no Windows XP SP3. O svchost.exe é um arquivo essencial do Windows e, por isso, o antivírus impediu o sistema de iniciar.

 

Também nesta semana: Microsoft tira do ar atualização que não funciona; componente de segurança do Internet Explorer deixa sites vulneráveis.

 

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o post no blog e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

 

 

>>> Atualização da McAfee danifica o Windows e impede o sistema de iniciar

 

Queixas de usuários apareceram em peso no fórum da McAfee. Queixas de usuários apareceram em peso no fórum da McAfee. (Foto: Reprodução)

 

A segunda maior fabricante de antivírus do mundo, a McAfee, liberou na quarta-feira (21) uma atualização que identificou o arquivo “svchost.exe” no Windows XP SP3 como vírus. A remoção do arquivo, crucial para o funcionamento do Windows, criava imediatamente uma mensagem de erro informando que o sistema seria desligado. Depois disso, o sistema entrava em uma sequência infinita de reinicializações, sem nunca iniciar até um estado utilizável. Soluções já foram disponibilizadas, mas não são simples.

 

O antivírus da McAfee tem um recurso que tenta impedir o software de gerar falsos positivos em arquivos importantes do Windows. Mas dessa vez, a falha estava no componente do antivírus que examina a memória, e não os arquivos. Esse componente não tem a mesma proteção, segundo informou a empresa. Por isso, o svchost.exe acabava sendo detectado como o vírus “w32/wecorl.a”.

 

Restaurar um sistema não é simples. A McAfee publicou instruções, mas usuários leigos podem não ser capazes de seguir as recomendações. Até a ferramenta automática () necessita pelo menos do uso do Modo Seguro com Rede.

 

Grandes empresas foram afetadas pelo problema, que deixou milhares de computadores inoperantes.

 

O svchost.exe é um componente do Windows responsável por hospedar diversos componentes. Também existem arquivos “svchost.exe” que realmente são pragas digitais, mas esses ficam em uma pasta diferente do arquivo legítimo, que reside na “system32”.

 

 

>>> Componente de segurança do Internet Explorer deixa sites vulneráveis

 

IE8 - Recurso de segurança deixa sites antes seguros vulneráveis. Recurso de segurança deixa sites antes seguros vulneráveis. (Foto: Reprodução)

 

Entre seus recursos de segurança, o Internet Explorer possui um filtro de XSS. Ataques de XSS dificilmente são considerados graves, mas isso vem mudando com casos como o da Fundação Apache Software, invadida por meio de uma falha de XSS. O Internet Explorer 8 tenta identificar um ataque de XSS e alterar o conteúdo da página para neutralizá-lo.

 

Ataques de XSS ocorrem quando um indivíduo mal-intencionado é capaz de injetar código na página web vista pelo internauta. Isso pode acontecer em principalmente em dois cenários: quando um site permite que o usuário crie conteúdo (como em comentários de blogs ou recados no Orkut) ou quando um link exibe conteúdo na página – como acontece nas páginas de busca, que exibem “Você está pesquisando por X”. “X” foi um conteúdo definido pelo usuário. Se “X” não for adequadamente filtrado, a busca irá executar código no navegador.

 

Ao alterar a página web para tentar proteger os internautas, o Internet Explorer abre uma nova vulnerabilidade. Um hacker pode “brincar” com o filtro e fazer com que, após a filtragem, o site passe a ser vulnerável. Com isso, sites que não possuem uma falha de XSS passam a ser vulneráveis – e eles nem podem corrigir o problema, porque a falha está no navegador.

 

Entre os sites que se tornam vulneráveis devido ao filtro do Internet Explorer estão a Wikipedia, o Google, o Twitter e até o Bing, da própria Microsoft.

 

A Microsoft já lançou duas atualizações para eliminar problemas no filtro de XSS do IE8. No entanto, alguns ainda persistem. Mais uma atualização deve ser lançada para tentar eliminar os problemas restantes.

 

É dever dos websites filtrar aquilo que é enviado pelos usuários para garantir que a página não envie código ao navegador quando devia enviar apenas texto. Códigos recebidos por um ataque de XSS podem comprometer as credenciais de acesso (login/senha), roubar dados ou até fazer com que o internauta envie mensagens nas redes sociais. “Vírus” de e-mails e redes sociais que funcionam apenas com XSS já foram criados.

 

A Microsoft acredita que, apesar disso, os navegadores devem incluir algum tipo de filtro também. A empresa argumenta que as defesas são muito mais benéficas do que os riscos que podem ser criados pelo filtro.

 

>>> Microsoft tira do ar atualização que não funciona

A Microsoft tirou do ar uma das atualizações lançadas na semana passada. A atualização MS10-025, disponível apenas para o Windows 2000 Server, não tinha eficácia em todas as circunstâncias, segundo a Microsoft. Uma nova atualização, funcional, deve ser lançada na semana que vem.

 

Brechas passam a ser mais perigosas depois que uma atualização foi publicada. Criminosos podem comparar os arquivos corrigidos com os arquivos vulneráveis e identificar onde está o problema e também como ele pode ser explorado. Embora a atualização não seja capaz de resolver o problema descrito no boletim, ela pode ter modificado os mesmos componentes que estão vulneráveis.

 

A falha, agora sem correção disponível, é crítica e afeta o Windows Media Services. Se o serviço estiver exposto na internet, um servidor com o Windows 2000 Server pode ser invadido remotamente.

 

* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.

 

Fonte: G1'>http://g1.globo.com/tecnologia-e-games/noticia/2010/04/atualizacao-de-antivirus-mata-arquivo-do-windows-e-danifica-sistema.html?utm_source=twitterfeed&utm_medium=twitter"]G1