O Projeto Zero da Google, lançado em meados de 2014, trata-se de um programa dedicado a encontrar falhas e vulnerabilidades em software utilizados a nível mundial e em larga escala. Ao longo dos anos este programa tem descoberto várias falhas de relevo no mercado, e como é tradição, as empresas responsáveis pelo software possuem 90 dias para corrigir os problemas antes destes serem reportados publicamente.
No entanto, por vezes existem casos onde as falhas necessitam de mais tempo para serem corrigidas, e como não são do conhecimento público, as entidades podem estabelecer acordos para evitar a divulgação dos conteúdos no final dos 90 dias.
Foi exatamente este o caso que aconteceu com uma falha descoberta no Windows. James Forshaw, um dos investigadores do Project Zero da Google, descobriu uma falha no Windows há cerca de 3 anos, mas apenas em 2018 começou a trabalhar em parceria com a Microsoft para corrigir a mesma.
A vulnerabilidade permitia que fosse possível abrir qualquer ficheiro com permissões administrativas, mesmo que o utilizador não tivesse permissão de administrador. Esta falha, caso fosse revelada, poderia ser explorada para os mais variados fins, e como tal a Google e a Microsoft estabeleceram uma parceria para que a mesma fosse corrigida por um período mais alargado de tempo que os 90 dias fornecidos.
A falha também aproveitava uma vulnerabilidade no kernel do Windows e na forma como os drivers do sistema interagem com o mesmo – e que estaria na base para que os ficheiros fossem executados dentro do sistema mesmo que não tivessem permissões para tal. Como a correção deste problema demoraria muito mais tempo que os 90 dias fornecidos pelo projeto, as empresas trabalharam em conjunto para corrigir o mesmo sem o tornar público.
A correção deve ser implementada na próxima grande atualização do Windows 10, e deve chegar aos utilizadores dói programa Insider com a build 1903 do sistema.
Nenhum comentário
Seja o primeiro!