Processo de patch da companhia parece lento para responder as vulnerabilidades já conhecidas
A Microsoft publicou na terça-feira (11/01) dois boletins de segurança, apontando três vulnerabilidades, sendo que somente uma a companhia avalia como crítica.
Os afetados incluem o Microsoft Windows e o Windows Server. Este é o tipo de patch leve que os administradores de TI gostariam de ter visto no mês passado, quando os feriados de fim de ano começaram. Em vez disso, o boletim de dezembro estabeleceu um novo recorde, com 17 itens envolvendo segurança.
A vulnerabilidade crítica, MS11-002, aponta duas falhas no Microsoft Data Access Components, que, se exploradas, podem permitir um código de execução remoto.
Saiba mais sobre soluções Microsoft. Visite o espaço de Eduardo Ramiro de Assis, blogueiro do IT Web
Talvez mais digno de nota do que o que foi consertado esse mês, seja o que não foi: cinco vulnerabilidades em curso.
“Em vez de falar sobre o número de boletins sendo consertados hoje, todos têm em mente as cinco vulnerabilidades que não estão sendo arrumadas”, disse o diretor de operação de seguranças da nCircle, Andrew Storms em um comunicado enviado por e-mail.
Paul Henry, analista de segurança e forense para a Lumension, também avisou em um e-mail que muitas vulnerabilidades da Microsoft que atingiram o ponto de entrega continuam não endereçadas. Ele citou a falha do Internet Explorer (da versão 6 a 8) Style Sheet Importing (CVE-2010-3971) e a falha Windows Graphics Rendering Engine (CVE-2010-3970) como os mais preocupantes. Os outros três não têm uma entrada CVE ainda e são descritos pela Microsoft no seu blog de Pesquisa de Segurança e Defesa.
Pressão
Henry disse que a Microsoft encara uma crescente pressão para responder mais rapidamente às divulgações de vulnerabilidades de segurança. O pesquisador de segurança do Google, Michael Zalewski, recentemente liberou uma atualização para sua ferramenta de segurança, croos_fuz, que ajudou a identificar falhas no Internet Explorer.
O Google tem promovido uma maior abertura e rápida resposta às vulnerabilidades. A Microsoft sugere que a abordagem do Google amplia os ricos e continua a apoiar sua interpretação de “divulgação responsável”.
Veja mais:
[Especial] 10 dilemas da segurança da informação
Sete maneiras de salvar a Microsoft em 2011
Especial 2010: as 10 notícias da Microsoftð Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.
