Assim que lançou a correção para a vulnerabilidade no browser Internet Explorer, usada na invasão da rede do Google, na quinta-feira (21/1), a Microsoft reconheceu que já sabia do erro desde agosto de 2009, quando uma empresa de segurança israelense alertou a companhia.

“Como parte da investigação, também determinamos que a vulnerabilidade é a mesma alertada e confirmada em setembro”, disse o gerente de programação da Microsoft, Jerry Bryant.

O boletim MS10-002, que acompanha a correção do IE, credita à BugSec Security a informação da existência do bug que causou um escândalo com a acusação do Google de ter sido vítima de crackers chineses.

O especialista em segurança da BugSec, Eyal Gruner, disse que a vulnerabilidade foi relatada à Microsoft no dia 26 de agosto, não em setembro. E ele criticou a Microsoft por ter demorado tanto para soltar a atualização. “Eu acho que sim, demorou demais”, disse. “Mas a Microsoft é uma grande organização e não sabemos quanto tempo isso demora para eles. Perguntamos o motivo da demora, e eles disseram que estavam testando o que tinham que testar.”

Além da vulnerabilidade usada para atacar o Google, a Microsoft também corrigiu outros sete erros na atualização do Internet Explorer. Das oito falhas, sete são consideradas críticas pela empresa.

“A atualização de fevereiro do IE foi adiantada, na verdade”, disse o diretor de operações de segurança da nCircle, Andrew Storms, se referindo à Microsoft ter admitido que esse patch estava previsto anteriormente para 9 de fevereiro.

A atualização de segurança do IE pode ser baixada e instalada pelos serviços Microsoft Update e Windows Update, assim como pelo Windows Server Update Service.

(Gregg Keizer)