Microsoft admite não avisar sobre todas as falhas que encontra


A Microsoft não avisa sobre todas as vulnerabilidades de segurança que ela corrige em seus pacotes de software. Como consequência, as comparações entre empresas com base no número de bugs podem ter distorções.

“Nós não documentamos toda falha encontrada”, disse o diretor do Centro de Resposta a Segurança da Microsoft (MSRC, na sigla em inglês), Mike Reavey, durante encontro com a imprensa na sede da companhia em Redmond (EUA).

A Microsoft disse atribuir um único identificador de Vulnerabilidades e Exposições Comuns (CVE) para vulnerabilidades ou falhas que compartilhem os mesmos níveis de gravidade, vetores de ataque e estratégias de contorno. Se diversas falhas tiverem as mesmas propriedades, elas não serão relatadas separadamente, disse Reavey.

A falta de transparência nas correções veio à tona no começo do mês graças à uma empresa chamada Core Security Technologies. Depois de estudar as correções MS10-024 e MS10-028, ela notou três correções que não tinham sido divulgadas. O boletim de segurança MS10-028 era uma resposta a uma falha que poderia expor um usuário do Microsoft Visio a um ataque via sobrecarga de memória (buffer overflow), que permitiria a um hacker obter o controle do sistema.

Equivalentes
A Microsoft não forneceu informações sobre as falhas adicionais que foram corrigidas no boletim para o Visio porque “o vetor de ataque era o mesmo, o nível de gravidade era o mesmo. Da perspectiva do consumidor, a mesma estratégia – não abrir documentos do Visio provenientes de fontes suspeitas – se aplicava”, disse Reavey à Webwereld, uma afiliada do IDG, em uma entrevista após a apresentação.

A Adobe também tem se mantido silenciosa sobre correções de vulnerabilidades internas. Durante uma apresentação no evento da Microsoft, o diretor de privacidade e segurança de produtos, Brad Arkin, admitiu que não usava números de CVE para bugs que a empresa tinha encontrado por si mesma. A Adobe considera essas atualizações “melhorias de código”, disse Arkin. Os números CVE são usados apenas para bugs que são ativamente explorados ou que foram relatados por pesquisadores externos.

Silenciar sobre atualizações de segurança traz consequências. Desenvolvedores e pesquisadores de segurança têm usado contagem de CVEs para mensurar a segurança de diferentes aplicações e sistemas operacionais. No evento para a imprensa, a Microsoft mostrou, num slide, uma comparação, em termos de atualização de segurança, dos sistemas Ubuntu LTS, Red Hat Enterprise Linux 4, OS X 10.4, Widows Vista e XP. Em  Em outro slide, a empresa comparou atualizações de segurança do SQL Server 2000, SQL Server 2005 e um concorrente não identificado.

Fazem sentido
Reavey admite que essas comparações têm falhas, mas argumenta que elas ainda fazem sentido como ferramenta básica de comparação. “Há diversas formas diferentes que podem ser usadas para medir segurança. A contagem de vulnerabilidades é uma delas, e não é perfeita.” A comparação do número de vulnerabilidades por linha de código de software oferece outra métrica. Reavey argumenta que a contagem de vulnerabilidade é, de fato, um meio útil para comparar produtos de um mesmo fornecedor.

O diretor da Microsoft minimizou a discussão sobre a contagem de vulnerabilidades, dizendo que elas distraem os pesquisadores da correção das falhas. Quando uma falha é reportada, a empresa prefere otimizar uma ferramenta de pesquisa que revela 200 bugs relacionados. Tecnicamente, o código pode conter 200 vulnerabilidades, mas “você muda uma linha de código e isso bloqueia todos os 200 problemas potenciais. Trata-se de uma ou de 200 vulnerabilidades? Eu não sei realmente dizer.”

“Se nós gastamos tempo para fazer a contabilidade correta, perdemos tempo que poderia ser usado para obter uma solução que protegerá os consumidores”, disse.

Por Tom Sanders, da Webwereld/Holanda

Anúncios
Esta entrada foi publicada em Security. ligação permanente.

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s