Vulnerabilidades e patchs @ Redmont

Depois de lêr o ‘Cyber Security Bulletin 2005 Summary‘ do US-CERT – onde estranhamente misturam “tudo na mesma panela” dando resultados tão despropositados como a descoberta em 2005 de 812 vulnerabilidades em SOs Windows, 2328 vulnerabilidades nos SOs Unix/Linux(onde se agrupam todos os Un*s existentes, todas as distros de Linux e inclusive o MacOS) – as pessoas menos informadas poderão achar que o ano de 2005 foi um bom ano em termos de segurança para os sistemas Windows ,mas IMO ocorreu precisamente o contrário.
Durante o ano de 2005 não me recordo de ter existido algum grande bug ou vulnerabilidade que pusesse a descoberto a insegurança do Linux, mas no caso dos sistemas operativos da Microsoft já não poderemos falar assim. A continuação do aumento do spam e malware, virus e bots, ocorreu quase exclusivamente devido a falhas nos sistemas de Redmont e durante o ano transacto as vulnerabilidades “0 dayz” a circular na Net ocorreram algumas vezes, com a “cherry on top of the cake” da vulnerabilidade do WMF mesmo no final do ano de 2005.

E ainda retornando a posição da Microsoft relativamente a essa vulnerabilidade, achei engraçado ver a Microsoft a vangloria-se sobre rapidez de resposta a essa situação, lançando no seu mais curto espaço tempo de sempre um patch após a divulgação da existência de um bug nos seus produtos.
Ora quem lida com sistemas Linux todos os dias e está minimamente a par ( 1 | 2 ) dos bugs e patchs dos sistemas operativos tem à muito tempo a certeza que o tempo de resposta a uma vulnerabilidade de segurança nestes sistemas é muito mais rápido do que nos sistemas operativos propritários e “close-source”.

E como se pode ler num artigo escrito por Brian Krebs, colunista de segurança do Washington Post, relata que em 2005 a Microsoft demorou em média 133 dias desde a notificação de um bug até ao lançamento do patch. Também interessante é saber que a eEye reportou à Microsoft diversas vulnerabilidades consideradas como ‘High Severity‘ que ainda não foram corrigidas e inclusive, e que existe uma vulnerabilidade datada de 5 de Maio ainda em aberto.

Isto tudo faz-me pensar que “só não vê quem quer” e que a Microsoft, apesar dos seus esforços, ainda tem um longo caminho a percorrer para melhorar a segurança dos seus sistemas operativos e diminuir os impactos que o delay entre a descoberta da vulnerabilidade e o lançamento do fix. Esperemos que melhorem em 2006…

Leave a Reply

Your email address will not be published. Required fields are marked *