A Microsoft afirmou nesta quinta-feira (7/1) que vai liberar na próxima terça-feira (12/1) apenas uma atualização de segurança, que corrige uma única vulnerabilidade do Windows.

Ao mesmo tempo, a empresa reconhece que não tem ainda uma correção para a falha do Windows 7, tornada pública dois meses atrás.

A atualização a ser liberada conserta uma vulnerabilidade que só é tida como “crítica” – o nível mais sério do sistema de classificação da Microsoft – no Windows 2000. Esse bug também afeta o Windows XP, o Vista e o Windows 7, bem como o Windows Server 2003, Server 2008, e Server 2008 R2, mas nessas versões o risco é classificado como “baixo”.

Sobre o tipo de bug a ser corrigido, “a primeira coisa que vem em mente, em relação aos novos sistemas, é uma vulnerabilidade de negação de serviço e, no Windows 2000, uma brecha para execução de código remoto”, disse o diretor de operações de segurança da nCircle Network Security, Andrew Storms.

Risco baixo
A Microsoft minimizou o risco potencial, mesmo para usuários do Windows 2000. “O índice de exploração dessa falha não será alto, o que diminui o risco geral”, afirmou Jerry Bryant, um porta-voz da Microsoft, em comentário publicado nesta quinta-feira no blog da empresa para temas de segurança.

Storms vê com bons olhos a carga leve da atualização de terça-feira, que sucede diversos meses de atualizações múltiplas: a Microsoft atingiu um recorde em outubro, quando publicou correções para 34 vulnerabilidades em 13 atualizações separadas. “É bom ter um mês leve, especialmente com a questão das vulnerabilidades da Adobe”, disse Storms, referindo-se a um bug na tecnologia PDF da empresa, que também deve ser corrigido em 12/1.

A Adobe, que em meados de julho prometeu liberar correções de segurança para o Reader e o Acrobat a cada trimestre, também vai corrigir falhas nesta terça-feira. A Adobe publicou sua própria notificação “pré-correção” nesta quinta-feira, mas como é de praxe recusou-se a detalhar quantas vulnerabilidades, além das que já são exploradas pelos crackers, serão corrigidas.

Para depois
A Microsoft, por sua vez, decidiu adiar uma correção, o que já foi confirmado por Bryant: a empresa não vai consertar uma espantosa vulnerabilidade de negação de serviço, detectada no Windows 7 e no Windows Server 2008 R2. “Ainda estamos trabalhando em uma correção”, disse.

Em meados de novembro, a Microsoft confirmou que o bug no Server Message Block (SMB), um protocolo criado pela empresa para compartilhamento de arquivos e de impressoras, poderia ser usado por crackers para comprometer computadores com Windows 7 e Windows Server 2008 R2. A Microsoft alega que a vulnerabilidade não pode ser usada para invadir PCs.

A falha do Windows 7 foi descoberta primeiro pelo pesquisador canadense Laurent Gaffie em 11/12, um dia depois que a Microsoft publicou as correções daquele mês. Gaffie publicou um código de ataque como prova de conceito em uma lista de discussão de segurança. De acordo com o pesquisador, a exploração da falha causa o travamento do Windows 7 e do Server 2008 R2 de tal maneira que a única coisa a fazer é desligar manualmente os computadores.

“De uma perspectiva de relações públicas, eu esperaria que a Microsoft consertasse o bug do SMB este mês”, disse Storms. “Por outro lado, não ficaria surpreso se isso não ocorresse, já que é apenas um bug de negação de serviço”.

A previsão é que a Microsoft libere sua atualização de segurança em 12/1 aproximadamente às 16 horas (horário de Brasília).

(Gregg Keizer)