13:50 · 22.02.2018

A equipe de pesquisadores de segurança do Project Zero, do Google, descobriu três falhas graves no mais recente sistema operacional da Microsoft, o Windows 10. A primeira divulgada foi no novo navegador da empresa, Microsoft Edge, enquanto a segunda atinge diretamente o núcleo do sistema, oferecendo privilégios de administrador à um usuário malicioso. Uma terceira não foi detalhada pelo grupo, já que a empresa conseguiu corrigir a tempo.

O Project Zero é composto por um time de pesquisadores de segurança do Google que procuram vulnerabilidades em programas da empresa, bem como de outras companhias. O problema no Edge foi relatado pelos profissionais à Microsoft em 17 de novembro. Como sempre, a equipe dá um período de 90 dias para a empresa dona do programa corrigir a falha antes de torná-la pública. Como a Microsoft não corrigiu o defeito em sua atualização mensal da última terça-feira (20), ela perdeu o prazo estipulado e o Google veio a público com o problema.

A falha é bem técnica, mas o problema tem a ver com a forma como o Edge lida com a execução de códigos. Caso saiba fazer uso da vulnerabilidade, um hacker pode enganar a segurança do navegador e colocar códigos maliciosos na memória do computador alvo.

Apesar da Microsoft ter classificado a falha apenas como "média" em termos de gravidade, o Google deu mais 14 dias, além dos 90, para que a empresa de Bill Gates corrigisse o problema em sua atualização mensal de fevereiro, liberada na última terça-feira. A gigante dos softwares disse que não conseguiu liberar a correção no tempo ofertado porque "a solução é mais complexa do que se pensava inicialmente".

Já a falha divulgada por último é ainda mais grave e foi informada à empresa em 10 de novembro do ano passado, 7 dias antes do defeito no Edge ter sido reportado. Caso saiba explorar a vulnerabilidade, um usuário mal-intencionado pode conseguir privilégios de administrador de sistema e com isso fazer o que bem entender no computador em questão.

Apesar de uma problema bem sério, a Microsoft classificou a falha como "importante", mas não "crítica", pois não pode ser explorada remotamente. Apesar disso, o problema é grave e deve ser corrigido, já que um invasor poderia, em tese, combinar um ataque remoto com a falha em questão e conseguir o acesso de administrador da mesma forma. Ambas as correções devem ser disponibilizadas para os usuários na atualização mensal de março, que deve ser liberada no próximo dia 13.

As empresas têm um histórico de alfinetadas quando se trata de falhas de segurança. Em 2013, um engenheiro do Google publicou uma falha nos Windows 7 e 8 que permitiam que um usuário local ganhasse privilégios de administrador. Em 2016, novamente um outro problema sério foi divulgado pela dona do Gmail. Já em 2017, foi a vez da Microsoft publicar uma falha de segurança no Google Chrome, que permitia a execução de códigos remotos dentro do navegador.