Pesquisadores de segurança do Google revelaram uma nova falha de segurança que afeta o Internet Explorer e o Office Online e pode ser utilizada por hackers.
A vulnerabilidade está na forma como a biblioteca Windows GDI (Graphics Device Interface) interpreta arquivos EMF e permite acesso a dados disponíveis na memória do sistema.
De acordo com o time do Project Zero do Google, um invasor poderia encapsular um EMF malicioso em documentos do tipo .DOCX para obter acesso indevido a informações que estejam em bytes próximos na memória. Até o momento, não há relatos de que a vulnerabilidade tenha sido explorada, mas a divulgação realizada pelo Google pode acelerar o uso indevido da brecha nesse tipo de documento. O agravante nesse caso é que não há qualquer medida que possa ser tomada pelo usuário para mitigar a possibilidade de um ataque, a não ser evitar abrir documentos suspeitos.
O Project Zero adotou o procedimento padrão para esse tipo de descoberta: notificou a Microsoft em Novembro sobre a falha de segurança e concedeu 90 dias para a empresa produzir uma correção, antes de divulgar publicamente o problema. Não se sabe ao certo se a Microsoft conseguiu produzir uma atualização capaz de consertar a vulnerabilidade, uma vez que o seu ciclo de correções mensais, a Patch Tuesday, foi adiada pela primeira vez em Fevereiro.
Essa não é a primeira vez que o Google cumpre à risca sua regra de 90 dias para a divulgação de vulnerabilidades e coloca a Microsoft e seus usuários em uma situação de risco. Em Novembro do ano passado, um incidente similar recebeu pesadas críticas por parte da cúpula da Microsoft e dividiu a comunidade de segurança. Na ocasião, a Microsoft acelerou o processo de correção da brecha de segurança, que foi distribuída a tempo para a Patch Tuesday daquele mês.
