Google Publica Falha do Windows 8.1 Que a Microsoft Ainda Não Conseguiu Corrigir

Lembra do Project Zero? É uma iniciativa do Google para procurar falhas de segurança em softwares de terceiros. Quando uma vulnerabilidade é encontrada, ela é relatada ao desenvolvedor. Pois bem: o Google encontrou um bug que permite a usuários limitados do Windows 8.1 conseguirem permissões administrativas. E os detalhes de como explorar a falha, ainda não corrigida pela Microsoft, foram publicados pelo Google.

Parece até maldade do Google, mas o Project Zero prevê a divulgação da falha 90 dias após alertar o desenvolvedor caso o problema não tenha sido resolvido. Como a Microsoft foi avisada no dia 30 de setembro, há mais de três meses, o tópico no fórum de pesquisadores do Google foi atualizado automaticamente com os detalhes da vulnerabilidade e uma prova de conceito, que funciona nas versões de 32 e 64 bits do Windows 8.1.

A Microsoft informou ao Engadget que ainda está trabalhando para resolver a falha, mas tentou tranquilizar os usuários: “é importante notar que, para um suposto invasor tentar explorar o sistema, eles precisam primeiro ter credenciais de logon válidas e serem capazes de fazer logon localmente em uma máquina alvo”. Por enquanto, a recomendação da empresa é ter antivírus atualizado, firewall ativado e correções instaladas (pelo menos as que estiverem disponíveis).

Alguns usuários criticaram a postura do Google em divulgar publicamente os detalhes da falha. Em resposta, a empresa afirmou que a regra está em vigor desde o início de 2014, e que ela é adotada por outros pesquisadores de segurança desde 2001: “o Project Zero acredita que os prazos de divulgação são atualmente a melhor abordagem para a segurança do usuário — permitem que os fornecedores de software tenham um tempo justo e razoável para corrigir suas falhas, ao mesmo tempo em que respeitam o direito dos usuários de entender os riscos que enfrentam”.

Os detalhes da falha de segurança do Windows 8.1, bem como o link de download da prova de conceito, estão nesta página.

from: Tecnoblog

• Sobre
• Últimos Posts

Siga me

Ricardo Galossi

É um apaixonado por segurança da informação, atua profissionalmente há mais de 7 anos na área de tecnologia da informação, onde é focado em análise de vulnerabilidades e testes de invasão.Criou o blog Guia do TI para compartilhar conhecimento, ajudar os mais novos, incentivar debates e manter a comunidade atualizada com as principais notícias da área de TI.

Siga me

Últimos posts por Ricardo Galossi (exibir todos)

• Metasploit Framework de cabo a rabo – Parte 6 - 4 de junho de 2018
• Metasploit Framework de cabo a rabo – Parte 5 - 28 de maio de 2018
• CEH – Scanning Networks – Parte 2 - 24 de maio de 2018