A Microsoft lançou um alerta para uma falha de segurança no Windows. A vulnerabilidade existe em todas as versões do sistema operativo e, uma vez explorada, garante ao atacante acesso a informação do browser do utilizador.



O alerta emitido pela fabricante surge após a disponibilização de uma prova de conceito do exploit da falha. Na prática ainda não se registaram casos reais de máquinas afectadas pelo código, desenvolvido para tirar partido do problema de segurança.



A vulnerabilidade afecta uma componente do Windows que gere o MIME Encapsulation of Aggregate HTML (MHTML) e que pode ser acedida através de um link HTML no Internet Explorer, de acordo com a explicação fornecida pela empresa.



Para concretizar um ataque é necessário que quem o promove leve o utilizador a carregar num endereço que o conduz a uma página com um script malicioso, dirigido à componente MHTML. É através do browser que o utilizador pode ficar em risco, mas na verdade é no sistema operativo que o problema reside, pelo que a versão do browser utilizada é irrelevante.


Num ataque bem sucedido a informação veiculada pelo utilizador através do browser fica vulnerável e o atacante ganha recursos para a realização de ataques spoofing (em que o endereço de origem é falsificado para que uma máquina possa tomar o lugar de outra) ou de cross-site scripting.



A Microsoft adiantou ainda que está a trabalhar na resolução do problema, embora já disponibilize uma ferramenta de software no seu site para limitar o potencial da falha. De qualquer forma, a empresa não estima um impacto muito relevante do problema e explica que, embora o componente afectado seja importante, é pouco usado pelo sistema da forma que se tornou vulnerável.



A empresa está igualmente a trabalhar com fabricantes como a Google e outras empresas gestoras de serviços online para minimizar o impacto do problema.