Hoje, o grupo de Análise de Ameaça do Google revelou uma vulnerabilidade crítica no Windows em um post no blog de segurança pública da empresa. O bug em si é muito específico – permitindo que invasores de escapar de caixas de proteção de segurança através de uma falha no sistema win32k – mas é grave o suficiente para ser classificado como crítico, e de acordo com o Google, está sendo explorada ativamente. Como resultado, o Google veio a público apenas 10 dias depois de relatar o erro para a Microsoft, antes de um patch que pode ser codificada e implantados. O resultado é que, enquanto o Google já disponibilizou uma correção para proteger os usuários do Chrome, o próprio Windows ainda é vulnerável, e agora todo mundo sabe disso.
A divulgação do Google fornece apenas uma descrição geral do bug, dando aos usuários informações suficientes para reconhecer um possível ataque sem torná-lo muito fácil para os criminosos à replicar. Explorando o bug também depende de uma exploração separada no Adobe Flash, para o qual a empresa também lançou um patch. Ainda assim, simplesmente sabendo que o bug existe provavelmente irá estimular um monte de criminosos a procurar maneiras viáveis para explorá-lo contra computadores que ainda têm de atualizar o Flash.
A Microsoft criticou duramente a divulgação.” A divulgação de hoje pelo Google coloca os clientes em risco potencial”, disse um porta-voz da Microsoft. “Recomendamos que os clientes usem o Windows 10 e o navegador da Microsoft para a melhor proteção.”
O breve período de carência é de acordo com a política do Google posto em prática em 2013 , permitindo que as vulnerabilidades críticas a serem divulgadas apenas sete dias depois de serem relatados para o fornecedor. Na época, um número de investigadores criticou a política como excessivamente dura , argumentando que sete dias não dá tempo suficiente para responder adequadamente a uma vulnerabilidade complexa. Esta é a primeira grande invocação da política nos três anos desde que foi posto em prática, embora os engenheiros do Google defende-o como necessário dada a exploração ativa do bug.
“Nós incentivamos os usuários a verificar que atualizações automáticas já chegam com o flash atualizado, e para atualizar manualmente se não for atualizado,”O post do Google recomenda “, aplicar patches do Windows da Microsoft, quando eles se tornarem disponíveis.”
Fonte: Venturebeat