São duas as empresas que acreditam ter descoberto falhas de segurança no recém-lançado Service Pack 2 para o sistema operativo Windows XP da Microsoft. A mais grave foi detectada pela Secunia e está supostamente relacionada com um bug no Internet Explorer que possibilita a um site malicioso instalar um programa na pasta Start Up do utilizador que se executa automaticamente quando o PC é reiniciado.



O ataque utiliza as características de drag-and-drop do Internet Explorer e os ficheiros shell do Windows para copiar o executável do site para a pasta Start Up, a partir da qual se executa da próxima vez que o utilizador ligar a sua máquina.



Embora relacionada, a vulnerabilidade apontada não é idêntica à série de outras encontradas e corrigidas pela Microsoft nas versões beta do SP2. Ao que indicam os peritos, este bug escreve simplesmente o ficheiro na pasta shell, enquanto as falhas entretanto solucionadas permitiam que terceiros pudessem correr código directamente no contexto dos ficheiros shell e por isso na zona My Computer do browser.



Para que o ataque sucedesse, o utilizador teria que visitar a página Web que hospeda o código e seguir as instruções. Qualquer código de ataque depositado seria detectado pelo software anti-vírus do computador. Embora considerando que a situação não comporta grande risco para os seus clientes, "dado a quantidade de procedimentos necessários por parte do utilizador para executar o ataque", disse um dos responsáveis pela área XP da Microsoft no Reino Unido, a fabricante diz estar a considerar o tipo de resposta a adoptar para lidar com o bug.



Entretanto, a empresa alemã Heise Security havia supostamente descoberto outros dois problemas na actualização de segurança da Microsoft para o seu sistema operativo Windows XP. Segundo a Heise, o Windows continua a manter determinadas características que permitem aos utilizadores descarregar e abrir arquivos da Internet potencialmente perigosos sem que o sistema avise sobre os riscos da acção.



Confrontada com os relatos da Heise e depois de investigadas as hipóteses colocadas pela empresa alemã, a Microsoft mantém o discurso de que o novo pacote é seguro e desmente os riscos, salientando que as vulnerabilidades descobertas não estão a ser exploradas, tendo funcionado apenas em circunstâncias ideais.




Notícias Relacionadas:

2004-08-20 - Microsoft disponibiliza kit de desactivação do update automático do SP2 para Windows XP

2004-08-18 - Service Pack 2 para Windows XP Home Edition disponível hoje