0 Compartilhamentos 435 Views

Falha no Office ficou sem correção por 17 anos

20 de novembro de 2017

Durante 17 anos ninguém viu que havia uma vulnerabilidade grave em um dos componentes do Microsoft Office, usado para edição de equações no Word, mas agora a falha de segurança foi finalmente corrigida.

A brecha estava presente em um componente legado que não era mais utilizado, mas foi deixado para trás por questões de compatibilidade com documentos antigos e, felizmente, a vulnerabilidade seguiu ignorada tanto pela Microsoft quanto pelos cibercriminosos.

A descoberta foi feita pela empresa de segurança Embedi, que comunicou o problema à Microsoft em Março deste ano em sigilo. A falha estava presente no arquivo EQNEDT32.EXE e permitia a execução de comandos que poderiam levar a infecções ou tomada de controle do sistema. Apesar de obsoleto, o executável era mantido nas instalações do Office, inclusive o Office 365, para abrir documentos criados com esse suporte no passado. Por ser anterior a diversas implementações de segurança introduzidas pela Microsoft no desenvolvimento de seus programas, o executável permaneceu esquecido, com brechas que poderiam ser exploradas.

Para ativar a vulnerabilidade, o usuário precisaria abrir um arquivo previamente preparado por criminosos. Segundo a Embedi, se esse arquivo fosse baixado da internet, o modo protegido do Word, ativado por padrão com documentos abertos da web, já seria proteção suficiente para impedir o uso da falha de segurança. A menos que o usuário autorizasse o desbloqueio do modo protegido, o que poderia expor o sistema ao risco.

Aparentemente, nem a Microsoft tinha mais acesso ao código-fonte original do EQNEDT32.EXE e o binário precisou ser editado “no braço” para corrigir a vulnerabilidade. Especialistas analisaram a atualização do executável e concluíram que o tempo gasto pela Microsoft entre o alerta do problema e seu conserto foram utilizados para que um desenvolvedor editasse o programa sem afetar sua funcionalidade primária e sem compilar novamente.

 

Carregando...

Você pode se interessar

Windows 11 vem aí?!
Artigos
72 visualizações
Artigos
72 visualizações

Windows 11 vem aí?!

Carlos L. A. da Silva - 15 de junho de 2021

Depois de mais de cinco anos, há claros sinais de que o Windows 10 será substituído por uma próxima versão do sistema operacional da Microsoft.

As “gambiarras” que os desenvolvedores de jogos utilizam
Artigos
222 visualizações
Artigos
222 visualizações

As “gambiarras” que os desenvolvedores de jogos utilizam

Carlos L. A. da Silva - 6 de junho de 2021

Não seja tão duro com você mesmo! O caminho da programação está lotado de "gambiarras" e até jogos conhecidos apelam para alguns truques.

Qual framework de PHP é o melhor para 2021?
Artigos
331 visualizações
Artigos
331 visualizações

Qual framework de PHP é o melhor para 2021?

Carlos L. A. da Silva - 27 de maio de 2021

A Theme Selection fez um comparativo das opções disponíveis no mercado e você vai bater o martelo sobre qual é o melhor framework para suas necessidades.

Deixe um Comentário

Your email address will not be published.

Mais publicações

Adeus a Mandic, um dos “pais” da internet brasileira
Artigos
438 visualizações
438 visualizações

Adeus a Mandic, um dos “pais” da internet brasileira

Carlos L. A. da Silva - 18 de maio de 2021
O que é o FLoC e como ele afeta sua privacidade na internet?
Artigos
556 visualizações
556 visualizações

O que é o FLoC e como ele afeta sua privacidade na internet?

Carlos L. A. da Silva - 5 de maio de 2021
Como planejar e construir um projeto de programação
Artigos
794 visualizações
794 visualizações

Como planejar e construir um projeto de programação

Carlos L. A. da Silva - 19 de abril de 2021