Apenas horas antes do lançamento de suas usuais atualizações da segunda terça-feira de cada mês, a Microsoft liberou um update emergencial para as versões 8, 8.1, 10 e Server do Windows. A correção, que deve ser aplicada a todos os usuários, corrige uma falha crítica nos sistemas de proteção do sistema operacional, que pode permitir que um hacker tome controle completo da máquina.
Basta o envio de um link para que a brecha seja explorada, e, em muitos casos, o usuário nem mesmo precisa clicar nele, bastando a abertura de um arquivo que o contenha ou a visualização da mensagem em um software de comunicação. A falha acontece no Windows Defender, que, ao escanear o conteúdo, abre uma porta para invasão e controle por terceiros.
A vulnerabilidade, que envolve a execução remota de códigos por parte de servidores controlados pelos hackers, foi descoberta pelo time do Google Project Zero, especializado em encontrar falhas de segurança críticas em sistemas operacionais e aplicativos. O problema foi citado por analistas do projeto como uma das piores brechas do tipo a serem descobertas nos últimos anos.
A gravidade da situação levou a Microsoft a trabalhar em ritmo aceleradíssimo ao longo do final de semana. Foram apenas poucos dias entre a descoberta e o lançamento de uma atualização, que já está disponível para todos os usuários das versões do Windows afetadas.
O analista Tavis Ormandy, do Google Project Zero, elogiou a postura da companhia de Redmond, que trabalhou rapidamente para resolver o problema. Em casos assim, uma resposta ágil é essencial, pois a divulgação da falha serve não apenas para alertar os usuários, mas também como um aviso para hackers e criminosos de que uma brecha a ser explorada existe. Usuários que demoram para realizar atualizações ou leigos, por exemplo, ficam em risco.
O trabalho veloz também surpreende quando se leva em conta a relação nem sempre amistosa entre a Microsoft e o time de segurança da Google. No passado, a desenvolvedora do Windows já criticou o time do Project Zero por eles não levarem em conta calendários de liberação de atualizações e práticas necessárias para garantir que os updates sejam lançados sem problemas, fazendo os usuários de reféns enquanto dizem trabalhar em prol da segurança na internet.
Em resposta, a Google afirmou que possui uma dinâmica que permite tempo o suficiente para a correção de falhas. Brechas descobertas são informadas em primeira mão aos responsáveis pelos softwares, que têm 90 dias para corrigi-las antes de sua divulgação para o público. A liberação de informações sobre a falha serve como uma forma de forçar as companhias a realizarem o update, justamente pelo fato de que, com o conhecimento geral, aumenta a pressão dos usuários, que podem se ver na mira de atacantes.
Fonte: BBC