Empresa solta patch com correção de falha usada para invadir sistemas do Google e admite ter sido alertada do erro por empresa israelense.
Assim que lançou a correção para a vulnerabilidade no browser Internet Explorer, usada na invasão da rede do Google, na quinta-feira (21/1), a Microsoft reconheceu que já sabia do erro desde agosto de 2009, quando uma empresa de segurança israelense alertou a companhia.
Como parte da investigação, também determinamos que a vulnerabilidade é a mesma alertada e confirmada em setembro, disse o gerente de programação da Microsoft, Jerry Bryant.
O boletim MS10-002, que acompanha a correção do IE, credita à BugSec Security a informação da existência do bug que causou um escândalo com a acusação do Google de ter sido vítima de crackers chineses.
O especialista em segurança da BugSec, Eyal Gruner, disse que a vulnerabilidade foi relatada à Microsoft no dia 26 de agosto, não em setembro. E ele criticou a Microsoft por ter demorado tanto para soltar a atualização. Eu acho que sim, demorou demais, disse. Mas a Microsoft é uma grande organização e não sabemos quanto tempo isso demora para eles. Perguntamos o motivo da demora, e eles disseram que estavam testando o que tinham que testar.
Além da vulnerabilidade usada para atacar o Google, a Microsoft também corrigiu outros sete erros na atualização do Internet Explorer. Das oito falhas, sete são consideradas críticas pela empresa.
A atualização de fevereiro do IE foi adiantada, na verdade, disse o diretor de operações de segurança da nCircle, Andrew Storms, se referindo à Microsoft ter admitido que esse patch estava previsto anteriormente para 9 de fevereiro.
A atualização de segurança do IE pode ser baixada e instalada pelos serviços Microsoft Update e Windows Update, assim como pelo Windows Server Update Service.
Com informações de Computerworld/EUA.