Existe um bug no algoritmo de descompressão empregue pela biblioteca de compressão de software zlib que é bastante utilizada nos sistemas baseados em Unix e na plataforma open-source Linux, permitindo que um atacante possa desencadear um ataque de denial of service - negação de serviço. É também possível correr qualquer tipo de código numa máquina remota.



Ontem, quinta-feira, elementos responsáveis pelo projecto open-source de compressão Gzip colocaram online uma lista de 600 aplicações que um programa de detecção indicou que utilizavam o código zlib. Nove aplicações da Microsoft estão incluídas nessa lista, como o DirectX 8, FrontPage, Internet Explorer, Messenger e Office, o que indica que poderão estar vulneráveis.



Também a próxima geração do Graphical Device Interface poderá conter código zlib. Este programa integra o Windows XP, representando assim um factor de risco para o sistema operativo.



Representantes da gigante de software afirmaram à C|NET que a equipa de segurança da companhia está a investigar a falha na zlib, admitindo ainda que algumas aplicações da Microsoft empregam código retirado dessa biblioteca de compressão. Contudo, a equipa ainda não determinou que aplicações é que empregam a biblioteca e se esses programas estão vulneráveis.



Este bug agora detectado resulta de um erro de programação que provoca que segmentos de memória alocada dinamicamente sejam libertados mais do que uma vez. A biblioteca zlib tem constituído um componente de software open-source durante quase uma década e pode ser encontrada em quase todos os sistemas Linux e Unix. Isso significa que a falha designada "double free" possa deixar uma grande parte desses sistemas susceptíveis de serem atacados.



A licença sob a qual a biblioteca zlib é distribuída na Internet permite que qualquer empresa empregue o código de qualquer forma que pretenda. Ao contrário da General Public Licence (GPL), a biblioteca não exige que uma companhia divulgue em troca o código-fonte dos seus programas.



Mas esta vulnerabilidade parece demonstrar que, apesar de ter criticado o modelo do software open-source, a Microsoft já empregou código de outros para desenvolver os seus próprios produtos. Contudo, esta parece não ter sido a primeira vez.



Segundo a C|NET, alguns programadores afirmaram que a tecnologia GS flag, que a empresa de Bill Gates acrescentou ao seu compilador mais recente para evitar um erro comum de programação, utiliza na verdade código retirado do projecto open-source StackGuard.



A mesma publicação online refere que no Verão passado surgiram provas de que o Windows tomou de empréstimo alguns utilitários de redes e, possivelmente, partes do protocolo TCP/IP - o software que permite a ligação a redes e à Internet - da variante open-source do Unix FreeBSD.



O que é facto é que a Microsoft nunca negou que iria utilizar software open-source, afirmando apenas que os seus programadores estão proibidos de utilizar código baseado no modelo de licença GPL, o que poderia obrigar a companhia a divulgar o seu próprio código-fonte.


Notícias Relacionadas:

2002-02-22 - Microsoft disponibiliza código-fonte a integradores de sistemas

2002-02-18 - Juíza obriga Microsoft a revelar código fonte do Windows aos Estados litigantes


2001-12-10 - Estados norte-americanos querem que Microsoft abra código fonte do Internet Explorer

2001-12-04 - Microsoft apela a CE para rejeitar licenciamento do código-fonte do seu software