novembro 28, 2008

[Segurança] Sete anos para criar um patch

No pacote de atualizações lançado pela Microsoft no mês de novembro teve um detalhe que chamou a atenção de vários especialistas: o patch MS08-068, que corrige uma vulnerabilidade do serviço SMB (Server Message Block), demorou cerca de sete anos e meio para ser criado !!!

Essa falha, chamada por muitos de "SMB relay attack", foi anunciada na Defcon 2000, o proof-of-concept foi criado em 2001 e já existem algumas ferramentas, como o Metasploit, que exploram esta vulnerabilidade.

Segundo a explicação fornecida pela Microsoft, é que somente no ano passado eles descobriram como corrigir a falha sem causar impacto nas aplicações existentes. Uma explicação mais detalhada dos motivos foi publicada no site do grupo "Microsoft Security Response Center (MSRC)".

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.