O Google publicou um alerta nesta segunda-feira (31) afirmando que criminosos estão explorando uma brecha ainda sem correção no Windows. A falha é utilizada em conjunto com uma brecha no plug-in do Flash, da Adobe, para obter o controle total do sistema quando uma página web maliciosa é visitada.


A Adobe e a Microsoft foram avisadas sobre os problemas no Flash e no Windows no dia 21 de outubro. A Adobe disponibilizou uma atualização no dia 26, mas a Microsoft não disponibilizou uma atualização até o momento e também não confirmou uma data para corrigir o problema.


A brecha no Flash é a mais grave das duas, pois permite que uma página web execute códigos. A vulnerabilidade no Windows é de "escalação de privilégio". Esse tipo de falha normalmente serve de complemento, pois eleva as permissões do código, abrindo caminho para dados e arquivos aos quais o ataque ao Flash não deveria dar acesso. Na prática, significa que o vírus instalado pelo ataque pode ser mais sofisticado e difícil de remover.


Segundo a Adobe, o ataque ocorreu de forma "limitada" contra usuários dos Windows 7, 8.1 e 10.


O Google garantiu que usuários do Chrome estão protegidos porque o navegador não permite acesso à função vulnerável do Windows. Quem atualizar o Flash ou desativar o plug-in também ficará protegido contra os ataques já em andamento, mas, como a existência do erro foi divulgada pelo Google, é possível que o ataque seja adaptado para uso em outras situações, inclusive fora da web.


A coluna Segurança Digital recomenda a desativação do Flash, exatamente por se tratar de uma frequente porta de entrada em ataques. Os próprios navegadores já estão impondo restrições na execução do plug-in. A maior parte do conteúdo em Flash deve ser desativada em 2017, quando o Flash ficará reservado para apenas alguns sites que ainda não migraram para HTML5.



Prazos diferente para falhas ativas
Quando o Google descobre uma brecha inédita em um software, a empresa aguarda 90 dias para que o desenvolvedor responsável possa corrigir o problema antes da vulnerabilidade ser divulgada. Quando a falha é encontrada já em uso por criminosos, o prazo é de sete dias.


O Google justifica o prazo menor afirmando que ataques que usam brechas sem correção normalmente afetam apenas uma pequena parcela dos usuários e que essas vítimas normalmente precisam saber o quanto antes da existência de ataques. "Ativistas políticos são alvos frequentes e podem haver consequências para a segurança [física] em certas partes do mundo", diz a empresa.


O Google reconhece que sete dias é um prazo "agressivo" e que pode ser pouco tempo para que uma desenvolvedora corrija seu software. No entanto, o Google argumenta que "é tempo suficiente para publicar possíveis recomendações, como desativar um serviço temporariamente, restringir acesso ou entrar em contato para mais informações".