A Microsoft chama a divulgação de exploração do Windows Zero Day do Google como "decepcionante" e claramente não menciona bilhões de telefones Android sem patch

Início » Microsoft

Ícone de tempo de leitura 4 minutos. ler

Ícone do calendário Publicado em

by Surur Davids 

publicado em

Compartilhe este artigo

Os leitores ajudam a oferecer suporte ao MSpoweruser. Podemos receber uma comissão se você comprar através de nossos links. Ícone de dica de ferramenta

Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais

janelas 10

O Google divulgou recentemente uma vulnerabilidade de 0 dia não corrigida no Windows depois de apenas dar à Microsoft 7 dias a partir da notificação para lançar um patch.

Isso resultou na liberação das informações sobre o hack antes que a Microsoft pudesse desenvolver um patch, colocando em risco um bilhão de usuários do Windows.

A desculpa do Google foi que o buraco já estava sendo ativamente explorado, mas em uma resposta hoje do vice-presidente executivo da Microsoft, Windows and Devices Group, Terry Myerson defendeu a Microsoft e expressou desapontamento com o comportamento do Google.

A Microsoft explicou que as explorações em estado selvagem eram os chamados ataques de “spear-phishing”, ou seja. enviado a pessoas específicas em baixo volume, em vez de ser amplamente distribuído ao público em geral.

Além disso, os usuários da Microsoft na versão mais recente do Windows 10, atualização do Windows 10 Anniversary, que também estão usando o Edge, já estavam protegidos. Devido aos esforços da Microsoft para forçar o lançamento de atualizações, agora claramente demonstradas como uma boa ideia, já 76% dos usuários do Windows 10 estão na versão mais recente, de acordo com dados do AdDuplex.

Terry disse que o Windows era a única plataforma com o compromisso de investigar problemas de segurança relatados e atualizar proativamente os dispositivos afetados o mais rápido possível e disse que um patch já estava em teste para lançamento em 8 de novembro, ou seja, Patch Tuesday.

Por implicação, Terry, é claro, sugeriu que o Google não levava a sério sua responsabilidade com os usuários do Android, com uma grande porcentagem de usuários do Android em versões mais antigas do sistema operacional que não estão tendo nenhuma atualização do sistema operacional.

Além disso, os usuários do Windows podem notar que o Edge ofereceu defesa em profundidade, implementando medidas de integridade de código e outros procedimentos de segurança claramente não praticados pelo navegador Chrome do Google.

A Microsoft recomendou que todos os clientes atualizem para o Windows 10, chamando-o de sistema operacional mais seguro que eles já criaram, completo com proteção avançada para consumidores e empresas em todas as camadas da pilha de segurança.

A visão da Microsoft de um bilhão de usuários do Windows, todos executando a versão mais recente do sistema operacional, todos atualizados automaticamente, significa que nos próximos anos o Windows pode ganhar a reputação de ser o sistema operacional mais seguro de se usar.

Leia o post completo de Terry Myerson abaixo:

O Windows é a única plataforma com o compromisso do cliente de investigar problemas de segurança relatados e atualizar proativamente os dispositivos afetados o mais rápido possível. E levamos essa responsabilidade muito a sério.

Recentemente, o grupo de atividades que a Microsoft Threat Intelligence chama de STRONTIUM conduziu uma campanha de spear phishing de baixo volume. Os clientes que usam o Microsoft Edge na atualização de aniversário do Windows 10 são conhecidos por estarem protegidos contra versões desse ataque observadas em estado selvagem. Essa campanha de ataque, originalmente identificada pelo Grupo de Análise de Ameaças do Google, usou duas vulnerabilidades de dia zero no Adobe Flash e no kernel do Windows de nível inferior para atingir um conjunto específico de clientes.

Coordenamos com o Google e a Adobe para investigar essa campanha maliciosa e criar um patch para versões de nível inferior do Windows. Nessa linha, os patches para todas as versões do Windows estão sendo testados por muitos participantes do setor e planejamos lançá-los publicamente na próxima atualização, terça-feira, 8 de novembro.

Acreditamos que a participação responsável do setor de tecnologia coloca o cliente em primeiro lugar e exige a divulgação coordenada de vulnerabilidades. A decisão do Google de divulgar essas vulnerabilidades antes que os patches estejam amplamente disponíveis e testados é decepcionante e aumenta o risco dos clientes.

Para lidar com esses tipos de ataques sofisticados, a Microsoft recomenda que todos os clientes atualizem para o Windows 10, o sistema operacional mais seguro que já criamos, completo com proteção avançada para consumidores e empresas em todas as camadas da pilha de segurança. Os clientes que habilitaram o Windows Defender Advanced Threat Protection (ATP) detectarão as tentativas de ataques do STRONTIUM graças à análise genérica de detecção de comportamento do ATP e à inteligência de ameaças atualizada.

-Terry

Leia mais sobre a exploração e As medidas de mitigação da Microsoft aqui.

Mais sobre os tópicos: 0-dia, google, microsoft, vulnerabilidades, Windows, Kernel do Windows, Vulnerabilidade do Windows

Surur Davids

Surur Davids Proteger

Especialista em smartphones

Surur Davids é o fundador do WMPoweruser, que mais tarde se tornou MSPoweruser.com. Ele é um especialista em smartphones com mais de uma década de experiência.