→ 02/11/2006 @16:06Esta crónica de Paulo Silva – Director Técnico da Panda Software Portugal – cuja versão integral será publicada na próxima semana no Bits & Bytes, mostra como mudou a atitude dos fabricantes anti-vírus em relação à Microsoft. Pessoalmente nunca pensei que chegassem a aconselhar o uso de Firefox ou de Opera, sobretudo quando um dos pré-requisitos de instalação de software antivírus tem sido, até agora, a presença do browser da Microsoft no sistema. Uma possível explicação para esta mudança pode ser encontrada neste post. Entretanto…
Poucas horas depois do lançamento oficial do Internet Explorer 7 (IE7) já estava publicada na rede a primeira vulnerabilidade a afectar este sistema. O problema estava num componente ActiveX do Outlook Express, que podia ser utilizado a partir do IE7 para ataques complexos de phishing e outro tipo de fraudes. Pior – esta falha já é conhecida há cerca de seis meses e nunca foi resolvida, afectando igualmente o Internet Explorer 6. Rapidamente, a Microsoft apressou-se a desmentir o sucedido e a criticar os artigos que surgiram sobre o tema. O argumento era simples: a falha era do Outlook Express e não do Internet Explorer 7.Esta atitude mostra dois aspectos profundamente condenáveis na conduta da Microsoft e na arrogância com que alguns dos seus sectores caíram nos últimos anos. Em primeiro lugar, se a vulnerabilidade reside num componente utilizado pelo Internet Explorer 7 e se é explorável a partir deste browser, a vulnerabilidade é deste. Uma cadeia é tão forte quanto o seu elo mais fraco. Isto é mais verdade no caso dos browsers da Microsoft, que, de tão integrados no sistema operativo, utilizam centenas de componentes comuns diferentes. Mas não deixam de pertencer ao browser, sobretudo quando estamos a falar do Outlook Express, um cliente de e-mail e de newsgroups que tem grande parte da sua base de código em comum com o IE.
What do you call a program that gets loaded in surreptitiously and, without your approval, has the potential to lock down your computer so you can’t get access to it, takes up significant system resources and promptly crashes upon running. Normally, I’d call it a virus, except for the last part… viruses are usually stable (and well written) once they start. On the other hand, it’s a perfect description of Internet Explorer 7.0. Kurt Cagle Ler mais
Se nos distanciarmos do problema do conceito, já por si grave, uma vez que indica uma tentativa de desresponsabilização do fabricante, encontramos um problema que é ainda mais preocupante. Trata-se de uma falha documentada e conhecida oficialmente há pelo menos seis meses, falha essa que nunca foi corrigida e que pode continuar a ser explorada por malware até hoje. Mas como é que uma empresa que investe milhões de dólares para tornar o seu código mais seguro se pode dar ao luxo de conhecer uma vulnerabilidade durante um tão grande período de tempo sem a corrigir?
(…) Esta atitude denota arrogância, desconhecimento da forma como operam os criminosos que atacam os sistemas informáticos para extorquir dinheiro e alguma dose de incompetência. Tanto os consumidores como os fabricantes não podem deixar passar esta falta de respeito, que não apenas prejudica os que não têm conhecimentos ou meios para resolver o problema: a grande maioria das questões globais que envolve a segurança informática (spam, ataques de denial of service) estão mais relacionadas com os computadores domésticos do que à partida possa parecer, visto estes serem utilizados em gigantescas redes de bots que depois servem para atacar todo o tipo de organizações.
Depois da primeira vulnerabilidade publicada, várias outras foram descobertas. Não nos choca – todo o software tem falhas – o problema são os tempos de resolução das mesmas, que continuam demasiado elevados. Uma vez que a actualização é compulsória e será brevemente integrada na lista de actualizações de segurança do Windows Update, a maioria dos utilizadores vai acabar por utilizar o Internet Explorer 7 como o seu browser predefinido.
No entanto, seria bom que os utilizadores começassem a explorar outras alternativas, pois existem produtos com excelente qualidade e muito menos sujeitos à pesquisa incessante de vulnerabilidades a que o IE está condenado, e que em última análise prejudica consideravelmente a segurança da sua utilização. O Firefox é um bom exemplo: a versão 2 foi recentemente lançada; o meu favorito é o Opera 9 – muito rápido, extremamente versátil e com uma estabilidade a toda a prova. (…)
