Existe uma falha grave no Trusteer Rapport, o software utilizado por muitos bancos brasileiros para proteger os dados confidenciais de seus clientes. Como, por exemplo, as credenciais de acesso a contas, para que não sejam roubadas por malware e em ataques de phishing. A Trusteer é uma empresa fundada em Israel, que a IBM adquiriu em 2013 por US$ 1 bilhão. A descoberta foi feita pelo pesquisador Neil Kettle, da empresa de segurança Trustwave e a falha atinge apenas a versão do Rapport mara o Apple Macintosh.
A vulnerabilidade é um erro de sinalização que leva a um problema de corrupção de memória da pilha do Kernel em uma chamada de memcpy. A Trusteer acredita que a base de instalação do Trusteer Rapport seja grande, inclusive na Europa e nos EUA. A Trustwave trabalhou com a IBM durante todo o processo de divulgação da falha. A IBM não pôde publicar o patch dentro do prazo regular de 90 dias oferecido pela Trustwave para a publicação de vulnerabilidades encontradas em seu laboratório. A empresa estendeu o prazo por mais 30 dias e mesmo assim a IBM não publicou a correção. Por causa disso a Trustwave achou apropriado alertar o público sobre esse problema.
Embora não exista atualmente nenhum patch disponível, o risco dessa vulnerabilidade é levemente atenuado por exigir acesso local. Portanto, a recomendação é que os usuários afetados permitam que apenas pessoas autorizadas possam fazeer login nesses sistemas. A Trustwave informou que a publicação dessa vulnerabilidade seguiu o seguinte cronograma:
15/08/2018 – Vulnerabilidade informada ao fornecedor (IBM)
13/11/2018 – Prazo de 90 dias esgotado
14/11/2018 – Iniciada extensão de 30 dias do prazo para correção
17/12/2018 – Fornecedor confirma que nenhum patch está disponível
20/12/2018 – Comunicado publicado
