Google divulga nova falha no Windows

O Google ignorou os pedidos da Microsoft e divulgou nesta semana uma nova falha no Windows. Com a divulgação da falha, o sistema operacional ficará exposto a ataques até que uma correção seja disponibilizada.

IMAGEaHR0cDovL3d3dy5iYWJvby5jb20uYnIvd3AtY29udGVudC91cGxvYWRzLzIwMTUvMDEvd2luZG93c19icm9rZW5fMDEuanBn

A nova falha no Windows afeta as versões 7 e 8.1 com Update 1 do sistema operacional para plataformas 32 e 64 bits.

Ela está presente na forma como as aplicações criptografam sua memória para que os dados possam ser trocados entre processos executados sob uma mesma sessão de login.

O problema é que a implementação deste recurso no arquivo CNG.sys não verifica o nível de representação do token durante a captura do id da sessão de login usando a função SeQueryAuthenticationIdToken.

De acordo com o Google, a Microsoft foi notificada sobre a vulnerabilidade em 17 de outubro de 2014 e deveria ter lançado uma correção na última terça-feira, 13 de janeiro.

Um problema de compatibilidade fez com que a Microsoft optasse por não lançar a correção no dia 13. Ela deve ser lançada agora só no próximo Patch Tuesday, em 10 de fevereiro.

IMAGEaHR0cDovL2JldGFuZXdzLmNvbS93cC1jb250ZW50L3VwbG9hZHMvMjAxNC8wNC9XaW5kb3dzLXVwZGF0ZS5qcGc=

Se o número de ataques que exploram a falha no Windows for muito grande, a Microsoft pode optar por lançar a correção antes do dia 10.

Detalhes técnicos sobre a falha no Windows e uma prova de conceito podem ser encontrados aqui: https://code.google.com/p/google-security-research/issues/detail?id=128