A Microsoft colocou recentemente no seu site um código de correcção destinado a solucionar três graves falhas de segurança que afectam a recente versão do Windows, o XP, permitindo que hackers roubem ou destruam ficheiros de dados de um computador através da Internet ou ainda que implantem software-espião.



Segundo a empresa, o risco para os consumidores é elevado, uma vez que as falhas oferecem a potenciais atacantes a hipótese de controlarem todo o sistema operativo Windows XP, sem precisarem que o utilizador do computador faça qualquer acção, excepto ligar-se à Internet.



As falhas foram descobertas há cerca de cinco semanas por uma equipa de três investigadores da eEye, uma companhia especializada em segurança informática. A eEye afirma num comunicado que as vulnerabilidades estão relacionadas com o serviço de Universal Plug and Play (UPnP) da Microsoft. Esta funcionalidade, que vem pré-integrada no Windows XP, pode ser utilizada para que os computadores detectem e acedam automaticamente a dispositivos compatíveis com este padrão industrial, ligados a uma rede doméstica.



O Windows Me não traz já este serviço UPnP. Contudo, algumas versões instaladas pelos fabricantes de computadores nos seus modelos para venda disponibilizam-no de uma forma pré-integrada. As vulnerabilidades também podem afectar os computadores dos utilizadores do Windows 98 que instalaram o programa Windows XP Internet Connection Sharing.



A primeira e a mais grave das falhas de segurança tem origem num buffer overflow - quando os dados se propagam a uma área importante de memória, corrompendo ou escrevendo por cima da informação válida aí mantida - que é explorado à distância. Desta forma, é possível que um atacante escreva um código malévolo que lhe irá permitir executar comandos com acesso ao nível do sistema, o mais elevado do Windows XP.



As outras duas vulnerabilidades constituem ataques de negação de serviço - Denial of Service. Uma consiste num ataque normal deste tipo, que permite que um atacante encerre remotamente qualquer sistema Windows XP. Este crash vai exigir que os utilizadores deste sistema operativo desliguem as suas máquinas da tomada e que as voltem a ligar, de forma a que o computador funcione.



O segundo tipo de ataque de negação de serviço actua de uma forma distribuída, permitindo que potenciais atacantes comandem à distância vários sistemas baseados no Windows XP de uma só vez com vista a que, através da Internet, "inundem" de dados uma única máquina.



Este anúncio vem assim, derrubar em parte os argumentos da Microsoft que defendia que a nova versão do seu sistema operativo era a mais segura de todas. Até ao momento e desde o seu lançamento, a 25 de Outubro, já foram vendidas sete milhões de unidades do Windows XP em todo o mundo.


Notícias Relacionadas:

2001-12-17 - Novo código de correcção para Internet Explorer 5.5 e 6 resolve três vulnerabilidades

2001-10-29 - Microsoft disponibiliza actualizações de 20 Megabytes para o Windows XP