Total Security - totalsecurity.com.br
Bugs
Sexta - 18 de Novembro de 2005 às 12:53
Por: escritor

    Imprimir



Justamente quando todos pensavam que a situação da Sony BMG não poderia ficar pior, pesquisadores da universidade norte-americana de Princeton descobriram uma grave falha de segurança no software fornecido para desinstalar o controverso aplicativo de proteção contra cópias XCP, presente em alguns CDs comercializados pela gravadora.Segundo o estudo, quando um usuário entra no website da Sony BMG e preenche uma ficha de dados para requerer a desinstalação do software de DRM (Digital Rights Management), um arquivo do tipo ActiveX chamado CodeSupport é carregado em seu sistema.

Entretanto, após o internauta deixar o portal da Sony BMG, o controle ActiveX continua marcado como "seguro" e permite que outros websites se aproveitem da brecha para rodar scripts maliciosos na máquina da vítima utilizando o CodeSupport.

O resultado desse erro da Sony BMG é potencialmente severo. Por não verificar se o código que está executando é de origem da Sony, o CodeSupport permite que usuários mal intencionados aproveitem a brecha e baixem ou instalem programas perigosos sem serem notados.

Ed Felten, professor de ciências da computação em Princeton, disse que ele e sua equipe também foram capazes de construir uma praga que explorasse a vulnerabilidade no programa da Sony, mas afirmou que não divulgará suas descobertas enquanto a gravadora não oferecer correções para o problema.

Desde a tarde de terça-feira (15/11), entretanto, a Sony já oferece o programa de desinstalação do software anticópias por outro método, classificado como seguro pela equipe de Ed Felten.

"Apenas usuários que já utilizaram a correção oferecida no método anterior estão sob risco de ataque", avisou o professor.

Ainda na terça, a Sony BMG anunciou que os consumidores que compraram CDs com proteção contra cópias poderão trocar os seus produtos por outras versões, essas já sem qualquer software para combater a pirataria.




Fonte: IDG Now!

Comentários

Deixe seu Comentário

URL Fonte: http://totalsecurity.com.br/noticia/819/visualizar/