Google descobre falha crítica no Windows que está a ser explorada

A Google revelou publicamente a descoberta de um conjunto de vulnerabilidades de “Dia Zero” no Windows, 10 dias depois de ter avisado a Microsoft e a Adobe sobre essas falhas. O problema é que, para uma delas, a correção ainda não foi emitida.

De acordo com o que escreveram Neel Mehta e Billy Leonard, do Threat Analysis Group da Google, tanto a Adobe como a Microsoft foram notificadas no dia 21 de outubro. A Adobe publicou uma atualização para o Flash a 26 de outubro, corrigindo o problema (CVE-2016-7855). Mas o Windows continua vulnerável.

“Após sete dias, seguindo a nossa política para vulnerabilidades críticas que estão a ser ativamente exploradas, estamos a revelar a existência de uma vulnerabilidade crítica que se mantém no Windows, para a qual não existem guias nem correções emitidas”, explicam os responsáveis. “Esta vulnerabilidade é particularmente séria porque sabemos que está a ser ativamente explorada.”

Ou seja: hackers escreveram código que se aproveita dessa falha para atacarem utilizadores com o sistema operacional. A Google não fez qualquer referência a versões do sistema operacional da Microsoft, que lançou o Windows 10 em 2015 com a promessa de ser o último e receber atualizações de segurança e funcionalidade regularmente.

Os especialistas adiantam que a vulnerabilidade é uma promoção de privilégios locais no kernel do Windows, que pode ser usada para escapar a sandbox de segurança.

“Encorajamos os utilizadores a verificarem se a atualização automática já fez update no Flash – e a atualizarem manualmente se não for o caso – e a aplicar correções para o Windows quando ficarem disponíveis para essa vulnerabilidade”, recomendam os especialistas da Google.

Leia também : Kaspersky deteta aumento nos ataques aos drivers vulneráveis do Windows