A Microsoft normalmente restringe suas atualizações do Windows a uma correção mensal, que veio na terça-feira passada. Mas agora, a empresa enviou uma atualização crítica para todos os usuários – é sinal de que algo preocupante foi descoberto.
A atualização de segurança aplica-se a todas as versões do Windows desde o Vista, e corrige uma falha enorme de segurança no OpenType, um formato de fonte desenvolvido conjuntamente pela Microsoft e Adobe.
Devido a um bug na maneira como o Windows lida com fontes personalizadas, um hacker poderia usar uma fonte personalizada em uma página da web ou documento e executar código remotamente no PC.
Em outras palavras: se você visitar um site não confiável com uma fonte estranha, um hacker mal-intencionado poderia “instalar programas; ver, alterar ou deletar dados; ou criar novas contas com direitos completos de usuário”, explica a Microsoft. Sem surpresa, ela classificou isto como um bug crítico, o nível mais alto.
A correção KB3079904 já está disponível através do Windows Update, e exige que o computador seja reiniciado.
A falha foi resolvida no Windows Vista, 7, 8, 8.1, RT, RT 8.1, Server 2008, Server 2008 R2, Server 2012 e Server 2012 R2. O Windows XP não é mencionado porque não recebe mais atualizações de segurança, e pode estar vulnerável.
O Windows 10 Insider Preview também recebeu o patch. Esta é a primeira atualização emergencial de segurança para o novo sistema.
A falha foi descoberta pela empresa de segurança FireEye e pelo Google, cujo Project Zero tem como objetivo “reduzir significativamente o número de pessoas prejudicadas por ataques direcionados”.
Segundo a Computerworld, o bug foi encontrado entre os arquivos vazados da Hacking Team, empresa italiana de segurança que vende ferramentas de espionagem.
[Microsoft via Computerworld e ZDNet]
Foto por Jeff Chiu/AP