Finalmente, a Microsoft está preparando uma correção para a vulnerabilidade divulgada pelo Google nessa terça-feira.
Apesar de ter sido avisada em 21 de Outubro sobre a falha de segurança, a Microsoft só irá disponibilizar a correção para o problema na próxima terça-feira, durante a Patch Tuesday de Novembro.
Segundo o diretor do Windows, Terry Myerson, a atualização está sendo testada nesse momento e não pode ser liberada publicamente. O executivo aproveitou a oportunidade para reiterar que a Microsoft não ficou satisfeita com a forma como o Google lidou com a divulgação da falha de segurança: “a decisão do Google de revelar essas vulnerabilidades antes das correções estarem amplamente disponíveis é decepcionante, e coloca os usuários em um risco ainda maior”.
Myerson defendeu uma coordenação maior entre as empresas de tecnologia no quesito de segurança: “nós acreditamos que a participação responsável no mercado de tecnologia coloca o usuário em primeiro lugar, e exige uma revelação de vulnerabilidade coordenada”. O Google alega que o prazo padrão entre a comunicação de uma falha a uma empresa e sua publicação é de 7 dias, mas concedeu dez dias para a Microsoft tomar uma atitude. Na ausência de um posicionamento, a equipe de segurança de ameaças do Google resolveu emitir o alerta.
De acordo com a Microsoft, a vulnerabilidade denunciada pelo Google está sendo explorada ativamente por grupos hackers que podem estar relacionados aos recentes ataques que visam sabotar o processo eleitoral nos Estados Unidos. As atividades dos cibercriminosos responsáveis por vazar documentos do Partido Democrata estão sendo investigadas pelo FBI.
Quem não quiser esperar até a próxima terça-feira, pode reduzir as chances de ataque simplesmente atualizando o Flash e usando o navegador Chrome. A falha crítica detectada no Windows depende de uma outra vulnerabilidade do Flash para ser ativada e o problema no plugin da Adobe já foi corrigido em sua última versão. O Google também certificou-se de que seu navegador não funcione como vetor de entrada para ataques que explorem a falha de segurança.