Engenheiro do Google anuncia publicamente falha no Windows XP

Tavis Ormandy localizou brecha que permite download de documentos do computador através do Centro de Ajuda e Suporte do sistema operacional

Depois de anunciar que estaria fazendo substituições de todos os computadores com Windows para Linux ou Mac, foi a vez de um desenvolvedor do Google apontar o dedo para a Microsoft, divulgando publicamente uma falha no Windows XP.

O erro foi diagnosticado por Tavis Ormandy, um engenheiro do Google, que afirma que através do Centro de Ajuda e Suporte do Windows XP é possível baixar mais documentos do que o permitido originalmente (a ferramenta deixa os arquivos de ajuda acessíveis). De acordo com Ormandy, é possível executar comandos arbitrários com os privilégios do usuário e ter acesso a outros documentos. Segundo o engenheiro, a vulnerabilidade aparece em PCs que rodam Windows XP SP2/SP3 e IE7/IE8.

Tavis também afirma que o erro é mais fácil de ser explorado quando o usuário possui Windows Media Player instalado, que vem por padrão em todas as versões do Windows.

E mudar o navegador parece não deter o ataque. De acordo com o engenheiro do Google, todos os navegadores são igualmente vulneráveis.

A divulgação pública da falha foi uma maneira, segundo Tavis, de fazer a Microsoft agir diante dos bugs encontrados e não deixá-los para depois. De acordo com Jeff Bryant, gerente do Microsoft Security Response Center, a Microsoft foi notificada pelo engenheiro somente em 5 de junho.

Original em UOL