0 Compartilhamentos 407 Views

Falha no Office ficou sem correção por 17 anos

20 de novembro de 2017

Durante 17 anos ninguém viu que havia uma vulnerabilidade grave em um dos componentes do Microsoft Office, usado para edição de equações no Word, mas agora a falha de segurança foi finalmente corrigida.

A brecha estava presente em um componente legado que não era mais utilizado, mas foi deixado para trás por questões de compatibilidade com documentos antigos e, felizmente, a vulnerabilidade seguiu ignorada tanto pela Microsoft quanto pelos cibercriminosos.

A descoberta foi feita pela empresa de segurança Embedi, que comunicou o problema à Microsoft em Março deste ano em sigilo. A falha estava presente no arquivo EQNEDT32.EXE e permitia a execução de comandos que poderiam levar a infecções ou tomada de controle do sistema. Apesar de obsoleto, o executável era mantido nas instalações do Office, inclusive o Office 365, para abrir documentos criados com esse suporte no passado. Por ser anterior a diversas implementações de segurança introduzidas pela Microsoft no desenvolvimento de seus programas, o executável permaneceu esquecido, com brechas que poderiam ser exploradas.

Para ativar a vulnerabilidade, o usuário precisaria abrir um arquivo previamente preparado por criminosos. Segundo a Embedi, se esse arquivo fosse baixado da internet, o modo protegido do Word, ativado por padrão com documentos abertos da web, já seria proteção suficiente para impedir o uso da falha de segurança. A menos que o usuário autorizasse o desbloqueio do modo protegido, o que poderia expor o sistema ao risco.

Aparentemente, nem a Microsoft tinha mais acesso ao código-fonte original do EQNEDT32.EXE e o binário precisou ser editado “no braço” para corrigir a vulnerabilidade. Especialistas analisaram a atualização do executável e concluíram que o tempo gasto pela Microsoft entre o alerta do problema e seu conserto foram utilizados para que um desenvolvedor editasse o programa sem afetar sua funcionalidade primária e sem compilar novamente.

 

Carregando...

Você pode se interessar

Adeus a Mandic, um dos “pais” da internet brasileira
Artigos
8 visualizações
Artigos
8 visualizações

Adeus a Mandic, um dos “pais” da internet brasileira

Carlos L. A. da Silva - 18 de maio de 2021

Aleksandar Mandic partiu em 6 de maio, mas seu legado seguirá conosco.

O que é o FLoC e como ele afeta sua privacidade na internet?
Artigos
191 visualizações
Artigos
191 visualizações

O que é o FLoC e como ele afeta sua privacidade na internet?

Carlos L. A. da Silva - 5 de maio de 2021

Federated Learning of Cohorts é uma API proposta pelo Google para substituir os cookies, mas ela também oferece problemas

Como planejar e construir um projeto de programação
Artigos
414 visualizações
Artigos
414 visualizações

Como planejar e construir um projeto de programação

Carlos L. A. da Silva - 19 de abril de 2021

O desenvolvedor full stack Peter Lynch revela seu método de preparação para qualquer projeto, de forma simples e direta para iniciantes e veteranos.

Deixe um Comentário

Your email address will not be published.

Mais publicações