[SECURITY-L] Bug descoberto no IE e´ problema no Windows, diz Microsoft

Daniela Regina Barbetti Silva daniela em ccuec.unicamp.br
Qui Ago 15 15:38:33 -03 2002 

----- Forwarded message from caio_sm <caio_sm em ibahia.com> -----

From: "caio_sm" <caio_sm em ibahia.com>
Subject: Bug descoberto no IE é problema no Windows, diz Microsoft 
To: daniela em ccuec.unicamp.br
Date: Thu, 15 Aug 2002 16:50:54 GMT


Bug descoberto no IE é problema no Windows, diz Microsoft 


Quinta-feira, 15 de Agosto de 2002 - 10h16 

IDG Now!

A Microsoft revelou que a falha no protocolo de segurança SSL (Secure
Socket Layer), descoberta no início desta semana por um pesquisador
independente, não está situada no browser do Internet Explorer, como havia
suposto, mas sim em diversas versões do Windows. 
De acordo com a companhia, o bug também não está no seu CryptoAPI (CAPI),
um sistema de criptografia que poderia deixar diversas aplicações e
serviços do Windows vulneráveis, não somente o IE. 

Com o problema, a desenvolvedora disse que começou a trabalhar na criação
de patches para os sistemas operacionais Windows 98, ME, NT4, 2000 e XP.
Mas não revelou, no entanto, quando as correções estarão disponíveis. 

"Essa falha no SSL havia sido descrita como um problema no IE, mas está
relacionada ao Windows. Está na criptografia do sistema operacional, de
forma que teremos que consertar o próprio Windows", disse Scott Culp
gerente do Microsoft Security Response Center. "O IE é uma espécie de
consumidor desses serviços de criptografia." 

Culp explicou que o problema não está situado dentro do CAPI, mas sim no
código que executa a validade das certificações SSL. Além disso, o sistema
operacional deve ser corrigido porque o IE não possui um código de
criptografia próprio e precisa confiar no Windows para executar o serviço. 

A falha dá abertura para que haja uma vulnerabilidade no sistema,
identificada como ataque intermediário, ou seja, permite que um hacker
intercepte uma sessão SSL e decodifique mensagens que podem conter números
de cartões de crédito ou outros dados pessoais. Culp informou ainda que o
bug não atinge qualquer outra aplicação que não seja do IE. 

[ John Fontana - Network World Fusion, EUA ]




TEXTO RETIRADO DO SITE:
 


http://idgnow.terra.com.br/idgnow/internet/2002/08/0024



Caio Souza Mendes

----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L