Uma discussão ressurgiu, relacionada ao boletim da Microsoft MS06-015, devido a falta de informações no boletim. Fato que fez ressurgir críticas antigas sobre os patches da Microsoft corrigirem mais coisas do elas informam ou se propõem(O pessoal só quer um fio para puxar hehehe). Caso semelhante já havia acontecido, quando a Microsoft descobriu uma vulnerabilidade internamente e corrigiu "silenciosamente" no Windows 2003 e não repassou as correções aos outros sistemas, como o W2K, e a EEye "redescobriu" a vulnerabilidade forçando a Microsoft a emitir o boletim MS05-047 e corrigindo a vulnerabilidade sobre as demais plataformas.
Por que isso é importante?Nós que somos responsáveis pela segurança de diversas redes, precisamos de toda informação disponível, com a garantia que os patchs corrijam exatamente o que está sendo informado. Por isso testes e avaliações de impacto são feitos antes de aplicá-los no ambiente de produção. Agora imaginem uma correção não informada esteja provocando problemas no funcionamento de algum componente chave ou irresponsavelmente abrindo uma nova brecha na rede?
Imaginou? Mais problemas para os clientes e dor de cabeça para nós.
Mais informações sobre a história no link abaixo.
http://blogs.securiteam.com/index.php/archives/394
