Lembra do Project Zero? É uma iniciativa do Google para procurar falhas de segurança em softwares de terceiros. Quando uma vulnerabilidade é encontrada, ela é relatada ao desenvolvedor. Pois bem: o Google encontrou um bug que permite a usuários limitados do Windows 8.1 conseguirem permissões administrativas. E os detalhes de como explorar a falha, ainda não corrigida pela Microsoft, foram publicados pelo Google.

Parece até maldade do Google, mas o Project Zero prevê a divulgação da falha 90 dias após alertar o desenvolvedor caso o problema não tenha sido resolvido. Como a Microsoft foi avisada no dia 30 de setembro, há mais de três meses, o tópico no fórum de pesquisadores do Google foi atualizado automaticamente com os detalhes da vulnerabilidade e uma prova de conceito, que funciona nas versões de 32 e 64 bits do Windows 8.1.

windows-8-1-preview-tela-inicial

A Microsoft informou ao Engadget que ainda está trabalhando para resolver a falha, mas tentou tranquilizar os usuários: “é importante notar que, para um suposto invasor tentar explorar o sistema, eles precisam primeiro ter credenciais de logon válidas e serem capazes de fazer logon localmente em uma máquina alvo”. Por enquanto, a recomendação da empresa é ter antivírus atualizado, firewall ativado e correções instaladas (pelo menos as que estiverem disponíveis).

Alguns usuários criticaram a postura do Google em divulgar publicamente os detalhes da falha. Em resposta, a empresa afirmou que a regra está em vigor desde o início de 2014, e que ela é adotada por outros pesquisadores de segurança desde 2001: “o Project Zero acredita que os prazos de divulgação são atualmente a melhor abordagem para a segurança do usuário — permitem que os fornecedores de software tenham um tempo justo e razoável para corrigir suas falhas, ao mesmo tempo em que respeitam o direito dos usuários de entender os riscos que enfrentam”.

Os detalhes da falha de segurança do Windows 8.1, bem como o link de download da prova de conceito, estão nesta página.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Breno Ribeiro
Fazer teus apps pra WP ela não quer, já procurar defeito nos outros...
Cláudio
Quem achou ruim a divulgação preferia continuar com o erro? Porque agora com a divulgação a Microsoft tem a OBRIGAÇÃO de arrumar.
Cláudio
Calma cara, menos...
Sr. WB

Se a Microsoft fosse mostrar a quantidade de falhas que existem no Android, a Google sairia piando e chorando. E como assim a Microsoft "ainda não Conseguiu resolver?!" Que Notícia mais tendenciosa, ridículo isso... O Sistema é dela... Claro que a Solução está à Caminho.

Porque a Google não cuida da vida dela e vê se faz a bosta do Android menos suscetível a Vírus e impede que seus donos tenham ad contas Bancárias Roubadas.

#VaiSeFoderGoogle

Erivelton Freitas
Se a Microsoft fosse mostrar a quantidade de falhas que existem no Android, a Google sairia piando e chorando. E como assim a Microsoft "ainda não Conseguiu resolver?!" Que Notícia mais tendenciosa, ridículo isso... O Sistema é dela... Claro que a Solução está à Caminho. Porque a Google não cuida da vida dela e vê se faz a bosta do Android menos suscetível a Vírus e impede que seus donos tenham ad contas Bancárias Roubadas. #VaiSeFoderGoogle
Vitor Mikaelson
95% dos PCs são piratas (Ao menos no Brasil)
Yan Minari

Não, é uma mais recente, acho que do NTP.

Yan Gabriel Minário
Não, é uma mais recente, acho que do NTP.
Sergio Fagundes
Apenas piratas e portanto merecem se ferrar. Na empresa que trabalho as 3 máquinas que fomos obrigados a usar windows pelos bancos as 3 tem atualização automática e antivírus pago.
Sergio Fagundes
Bash em 4hs na verdade.
Robson Vieira
Tá cada dia mais bizarro acreditar em algum produto microsoft. Outro dia eu vi que, inclusive, o pior antivirus é aquele que vem nele...Eu sempre tiro aquele firewall fajuto. Instalo um bom antivírus, que pode ser Avast, PSafe, Avira, AVG...e me mantenho alheio às novidades deles! rs
Sidney Monteiro
Eu baixei o programinha que a equipe de segurança do google criou como prova de conceito, e testei no windows 8.1, com o UAC no nível padrão e o meu usuário sendo administrador. Realmente, a tela de confirmação do UAC não aparece e o programa é executado com privilégios de administrador. É, sem dúvida, uma falha meio grave, que pode ser explorada por vírus e malwares. No entanto, se você colocar o UAC no nível máximo, a tela de confirmação do UAC sempre é exibida. Então fica aí a dica: pressione tecla-Windows+S, digite 'UAC' e clique em "Alterar configurações de controle de conta do usuário" e coloque o UAC no nível máximo. E deixe assim até que a MS corrija o problema(se corrigir).
Pna Araujo
Arial Black Times New Roman, Me passa teu email, tenho mais umas 47mil aqui ai eu te envio ?
Antony
Poderia citar fontes?
Lucas Dillmann
Você se refere ao bash, Yan? Se sim, tem certeza de que foi silenciosa? Me recordo muito bem de manualmente instalar-a via App Store.
Exibir mais comentários