A divisão de segurança do Project Zero, do Google, divulgou detalhes de uma vulnerabilidade no Windows 10 Edge e no Internet Explorer 11 que permite a hackers, remotamente, derrubar ambos os navegadores e executar códigos maliciosos.
• Google e Bing começarão a esconder sites de pirataria das buscas no Reino Unido
• Na corrida dos veículos autônomos, Google processa Uber por roubo de patente e projetos
O problema foi reportado de forma privada pelo Google à Microsoft em 25 de novembro de 2016. O Google divulgou publicamente o bug nesta segunda-feira, após a Microsoft falhar em consertar o problema dentro de 90 dias após a notificação.
O pesquisador do Google Ivan Fratric explicou em sua divulgação que estava relutante em revelar mais detalhes até que o bug tivesse sido consertado. A equipe do Project Zero normalmente trabalha com uma janela de 90 dias como forma de fazer uma divulgação responsável, dando às empresas tempo suficiente para arrumar o problema antes que a falha venha a público.
“Não farei mais comentários sobre exploração, pelo menos até que o bug seja consertado”, disse Fratric, na seção de comentários de sua publicação. “O relatório já tem muita informação (Eu realmente não esperava que isso passasse do prazo).”
O National Vulnerability Database indexou o problema como CVE-2017-0037 e alertou que ele “permite a hackers remotos executar códigos arbitrários” e categoriza a brecha como “de alta gravidade”, usando o Common Vulnerability Scoring System (CVSS), um sistema de pontuação padrão para vulnerabilidade de TI.
O defeito diz respeito à maneira como o Internet Explorer 11 e o Microsoft Edge lidam com instruções para formatar partes de páginas na web. Até agora, não há evidência de que a falha esteja sendo usada em grande escala por infratores maliciosos.
Esta não é a primeira vez que um pesquisador do Google expõe a Microsoft divulgando um erro não consertado. Como noticia a Ars Technica, o pesquisador do Google Mateusz Jurczyk publicou detalhes de uma falha no Windows, na semana passada, que expõe dados sensíveis armazenados na memória do computador.
As duas divulgações acontecem após a Microsoft adiar o patch de fevereiro de 2017 para 14 de março sem qualquer explicação. Entramos em contato com a empresa procurando comentários sobre ambas as vulnerabilidades, e esta foi a resposta:
“Acreditamos em uma divulgação de vulnerabilidade coordenada, e tivemos conversas com o Google sobre estender o prazo já que a divulgação poderia potencialmente colocar os consumidores em risco. A Microsoft tem um compromisso com seus clientes de investigar problemas de segurança relatados e, proativamente, atualizar os dispositivos impactados o mais rápido possível.”
Por enquanto, nenhuma solução para os problemas foi divulgada pelo Google. Também não está claro se a Microsoft terá um patch para consertar ambas as vulnerabilidades em 14 de março, quando chega a próxima grande atualização de segurança. Se você estiver usando um computador com Windows agora, tome bastante cuidado.