0 Compartilhamentos 355 Views

Falha no Office ficou sem correção por 17 anos

20 de novembro de 2017

Durante 17 anos ninguém viu que havia uma vulnerabilidade grave em um dos componentes do Microsoft Office, usado para edição de equações no Word, mas agora a falha de segurança foi finalmente corrigida.

A brecha estava presente em um componente legado que não era mais utilizado, mas foi deixado para trás por questões de compatibilidade com documentos antigos e, felizmente, a vulnerabilidade seguiu ignorada tanto pela Microsoft quanto pelos cibercriminosos.

A descoberta foi feita pela empresa de segurança Embedi, que comunicou o problema à Microsoft em Março deste ano em sigilo. A falha estava presente no arquivo EQNEDT32.EXE e permitia a execução de comandos que poderiam levar a infecções ou tomada de controle do sistema. Apesar de obsoleto, o executável era mantido nas instalações do Office, inclusive o Office 365, para abrir documentos criados com esse suporte no passado. Por ser anterior a diversas implementações de segurança introduzidas pela Microsoft no desenvolvimento de seus programas, o executável permaneceu esquecido, com brechas que poderiam ser exploradas.

Para ativar a vulnerabilidade, o usuário precisaria abrir um arquivo previamente preparado por criminosos. Segundo a Embedi, se esse arquivo fosse baixado da internet, o modo protegido do Word, ativado por padrão com documentos abertos da web, já seria proteção suficiente para impedir o uso da falha de segurança. A menos que o usuário autorizasse o desbloqueio do modo protegido, o que poderia expor o sistema ao risco.

Aparentemente, nem a Microsoft tinha mais acesso ao código-fonte original do EQNEDT32.EXE e o binário precisou ser editado “no braço” para corrigir a vulnerabilidade. Especialistas analisaram a atualização do executável e concluíram que o tempo gasto pela Microsoft entre o alerta do problema e seu conserto foram utilizados para que um desenvolvedor editasse o programa sem afetar sua funcionalidade primária e sem compilar novamente.

 

Carregando...

Você pode se interessar

Como se tornar um Engenheiro DevOps em 2021
Notícias
7 visualizações
Notícias
7 visualizações

Como se tornar um Engenheiro DevOps em 2021

Carlos L. A. da Silva - 1 de março de 2021

A consultora de DevOps e evangelista Nana Janashia apresenta um passo a passo de tudo que você precisa saber para dominar o DevOps em 2021.

Quanto ganha um programador? Confira uma das maiores pesquisas salariais realizadas no Brasil
Notícias
11 visualizações
Notícias
11 visualizações

Quanto ganha um programador? Confira uma das maiores pesquisas salariais realizadas no Brasil

Redação - 23 de fevereiro de 2021

O Canal Código Fonte TV realizou uma pesquisa salarial com mais de 11 mil programadores brasileiros. Entre os dados coletados é possível analisar a média salarial por: tecnologia, idade, gênero, região, entre muitos outros insights.

Seus dados vazaram. E agora?
Artigos
13 visualizações
Artigos
13 visualizações

Seus dados vazaram. E agora?

Carlos L. A. da Silva - 19 de fevereiro de 2021

Seus dados pessoais foram vazados e essa é uma verdade praticamente inevitável. A meta agora é minimizar os possíveis danos e cobrar autoridades.

Deixe um Comentário

Your email address will not be published.

Mais publicações

Entendendo o elemento time em HTML 5
Artigos
19 visualizações
19 visualizações

Entendendo o elemento time em HTML 5

Carlos L. A. da Silva - 5 de fevereiro de 2021
Como cortar texto sem usar uma linha de script
Dicas
26 visualizações
26 visualizações

Como cortar texto sem usar uma linha de script

Carlos L. A. da Silva - 11 de janeiro de 2021
Como começar a programar
Artigos
32 visualizações
32 visualizações

Como começar a programar

Carlos L. A. da Silva - 7 de janeiro de 2021
Como cancelar qualquer conta online para sempre
Dicas
34 visualizações
34 visualizações

Como cancelar qualquer conta online para sempre

Carlos L. A. da Silva - 30 de dezembro de 2020