Google revela falha do IE e Edge após Microsoft adiar Patch Tuesday
Equipe de segurança da divisão Project Zero revelou problema com navegadores para Windows após Microsoft perder o prazo para solucionar caso
Da Redação / com IDGNow - Divulgação / Arquivo
28/02/2017 00:00
<p><span style="color:#666666"><span style="line-height:30px"><span style="font-size:15px"><span style="font-family:arial,helvetica,sans-serif">A equipe do Project Zero, do Google, revelou uma potencial vulnerabilidade de execução arbitrária de código no Internet Explorer porque a Microsoft não agiu dentro do prazo de 90 dias para revelação do Google.</span></span></span></span></p>
<p><span style="color:#666666"><span style="line-height:30px"><span style="font-size:15px"><span style="font-family:arial,helvetica,sans-serif">Essa é a segunda falha em produtos da Microsoft que foi tornada pública pelo Google Project Zero desde que a empresa de Redmond decidiu pular o Patch Tuesday de fevereiro e adiou os updates de segurança previstos para a última semana apenas para março.</span></span></span></span></p>
<p><span style="color:#666666"><span style="line-height:30px"><span style="font-size:15px"><span style="font-family:arial,helvetica,sans-serif">A Microsoft culpou um “problema de última hora” para ter tomado essa decisão polêmica e sem precedentes, mas não revelou exatamente qual a natureza do problema em questão.</span></span></span></span></p>
<p><span style="color:#666666"><span style="line-height:30px"><span style="font-size:15px"><span style="font-family:arial,helvetica,sans-serif">Algumas pessoas especularam que o problema poderia estar relacionado à infraestrutura do Windows Update e não com uma correção em particular, mas a Microsoft soltou nesta semana uma atualização de segurança para o Flash Player, o que sugere que, caso houvesse um problema de infra, agora já está resolvido.</span></span></span></span></p>
<p><span style="color:#666666"><span style="line-height:30px"><span style="font-size:15px"><span style="font-family:arial,helvetica,sans-serif">A recém-revelada vulnerabilidade é uma falha que afeta o Microsoft Edge e o Internet Explorer e poderia permitir que criminosos executassem códigos arbitrários remotamente.</span></span></span></span></p>
<p><span style="color:#666666"><span style="line-height:30px"><span style="font-size:15px"><span style="font-family:arial,helvetica,sans-serif">“Não há nenhuma exploit disponível, mas uma prova de conceito demonstrando o problema”, afirmou o diretor de pesquisas de inteligente de vulnerabilidades da Risk Based Security, Carsten Eiram. “Essa prova de conceito pode fornecer um bom ponto de partida para qualquer que quiser desenvolver uma exploit funcional. O Google Project Zero até inclui alguns comentários sobre como possivelmente alcançar a execução de código.”</span></span></span></span></p>
<p><span style="color:#666666"><span style="line-height:30px"><span style="font-size:15px"><span style="font-family:arial,helvetica,sans-serif">Os pesquisadores da Risk Based Security confirmaram a vulnerabilidade para o IE11 em um sistema Windows 10 com patches atualizados e deram uma classificação de 6.8 para a ameaça, tratando seu impacto como execução potencial de código.</span></span></span></span></p>
<p><span style="color:#666666"><span style="line-height:30px"><span style="font-size:15px"><span style="font-family:arial,helvetica,sans-serif">Em 14 de fevereiro, após a Microsoft anunciar a decisão de adiar os patches de fevereiro, o Google revelou uma vulnerabilidade de revelaçnao de memória na biblioteca GDI, do Windows.</span></span></span></span></p>
<p><span style="color:#666666"><span style="line-height:30px"><span style="font-size:15px"><span style="font-family:arial,helvetica,sans-serif">Vale notar que, no momento, há três vulnerabilidades de dia zero nos produtos da Microsoft que a empresa deveria ter solucionado com a Patch Tuesday prevista para o último dia 14 de fevereiro.</span></span></span></span></p>
