• ZDI Divulga Vulnerabilidades de Segurança em Produtos de Vários Fabricantes

    Faz seis meses que a Zero Day Initiative (ZDI) anunciou que não iria mais tolerar que os fabricantes demorassem muito tempo para corrigir falhas de segurança em seus produtos, e iria liberar informações sobre as vulnerabilidades após um prazo máximo de 180 dias. Fazendo jus à promessa, foram apresentadas informações sobre 22 problemas de segurança de longa duração.

    A ZDI recompensa os especialistas em segurança que encontrarem vulnerabilidades, para que ela possa ser a primeira a utilizar tais informações. Ela também assume a total responsabilidade de informar aos fornecedores sobre a existência de falhas, para que eles possam sempre que houver oportunidade, publicar informações sobre como corrigi-las. No entanto, os fabricantes levaram mais de um ano para produzir um patch e consentir a publicação. Devido a este grande atraso representar um risco desnecessário para os usuários, a ZDI anunciou que no futuro, tornará públicas as informações sobre as vulnerabilidades após um período máximo de 180 dias.

    As 22 vulnerabilidades de segurança que foram divulgadas referem-se a produtos da Microsoft, IBM, Novell, CA, EMC e até mesmo da empresa controladora ZDI HP. Os produtos afetados incluem o Lotus Notes, PowerPoint e Excel. Essas vulnerabilidades devem ser definitivamente, levadas a sério, pois normalmente a ZDI faz verificações para garantir que os problemas descritos estejam relacionados à questões de segurança genuínas.

    Para receber a recompensa total, os descobridores de vulnerabilidades são normalmente obrigados a fornecer um demo exploit. As vulnerabilidades publicadas na lista incluem até mesmo questões que marcam o score máximo de 10 pontos na escala Common Vulnerability Scoring System (CVSS).


    Saiba Mais:

    [1] Zero Day Initiative: http://www.zerodayinitiative.com/advisories/published/
    [2] Heise On-line: http://www.h-online.com/security/new...l-1185438.html

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L