Outra vez usuários de Internet Explorer precisam correr para as colinas e aplicar métodos de correção temporária para tentar escapar dos riscos de novas falhas sem correção. Aparentemente, a falha já era conhecidas pelo pessoal da ISS X-Force, que também publicou um alerta.
Eu acho um pouco suspeito que tanto os crackers russos quanto o pessoal da X-Force iriam chegar na mesma falha, com várias outras por aí. Mas enfim, o fato é que a X-Force não sabia que a falha já estava sendo explorada na web e estava esperando a Microsoft lançar uma correção, como fazem todas as empresas que praticam “Responsible Disclosure”. O mais provável é que essa seja só mais uma falha que circulava no mercado negro de falhas de segurança, que alguns afirmam existir dentro da Rússia, e a X-Force tenha também a encontrado.
Eu entendo também o lado da Microsoft, que não pode simplesmente lançar um patch de um aplicativo como o Internet Explorer sem uma completa análise e um processo de teste, ainda mais com o fiasco que foi o MS06-042, que teve de ser lançado três vezes devido a bugs no próprio patch. Tem também a questão das empresas, onde qualquer modificação precisa ser testada antes de ser levada ao ambiente de produção, o que não permite que a Microsoft divulgue as correções no dia que bem entender, pois o lançamento de um patch também ajuda os malfeitores a encontrar as falhas e fazer exploits.
O problema é que é muito difícil explicar ao usuário como tomar uma medida preventiva, principalmente quando ela pode trazer conseqüências ao sistema. Lembro do famoso shimgvw.dll, que era desativado para corrigir a falha do WMF e causava erros na visualização de fotos: tivemos uma enorme quantidade de usuários que achavam que estavam infectados por vírus por não conseguir visualizar as fotos, quando foram eles mesmos que desativaram a DLL por motivo de segurança e não a reativaram depois de instalar o patch.
É muito mais simples dizer: “Instale esse patch e também quaisquer novos patches que sejam lançados”. Mas o que dizer quando o usuário precisa ser informado sobre uma nova falha e se depara com a triste realidade de que não há um patch?
E pensando nessas situações, eu lembro do Windows Vista, cujas medidas de segurança adotadas limitam de tal modo as possibilidades de controle que até mesmo antivírus terão problemas para efetuar suas tarefas. A Microsoft está finalmente mudando o que deu tanto poder sobre a máquina aos programadores de vírus.
O que eu espero realmente ver é como o IE7 do Windows Vista lidará com falhas de segurança. O Windows XP SP2 reforçou as proteções contra ataques remotos e até agora continua uma parede firme contra worms no estilo Blaster, mas o IE6 “SV1″ (Versão de “Segurança” 1) ficou muito, mas muito longe de cumprir o prometido, colocando quase que em “Repeat” as notícias de “Encontrada nova brecha sem correção no Internet Explorer…”