Empresa afirma já ter achado e põe à venda bug de segurança no Windows 8

Esse não é o tipo de anúncio que a maioria das pessoas entenderia.
À venda: "Nosso primeio 0 day para Win8+IE10 com HiASLR/AntiROP/DEP & Prot Mode sandbox bypass (não necessita Flash)". Essa é parte de uma mensagem recentemente divulgada no Twitter da Vupen, uma empresa francesa especializada em encontrar vulnerabilidades em softwares que são amplamente utilizados de companhias como a Microsoft, Apple, Adobe e Oracle.
A Vupen ocupa uma área obscura em pesquisa de segurança de computadores, vendendo vulnerabilidade para terceiros em governos e empresas, mas não compartilha os detalhes com os fornecedores dos softwares afetados. A francesa defende que essas informações ajudam organizações a se defenderem contra ataques de crackers e, em alguns casos, jogar sujo também.
A Vupen encontrou problemas em algum lugar do novo sistema operacional da MS, o Windows 8, e também na nova versão do seu navegador, o Internet Explorer 10. A falha não foi publicamente divulgada ou corrigida pela companhia, ainda.
A descoberta da empresa de segurança foi uma das primeiras vulnerabilidades para Windows 8, lançado na semana passada, e do IE10 - embora brechas já tenham sido encontradas em softwares de terceiros que rodam no OS.
O diretor de Computação Confiável da Microsoft, Dave Forstrom, disse que a companhia incentiva pesquisadores a participar do seu programa Coordinated Vulnerability Disclosure, o qual pede que as pessoas deem tempo para corrigir o problema no software antes de divulgá-lo publicamente.
"Nós vimos o tuite, mas mais detalhes não foram compartilhados conosco", disse Forstrom em comunicado.
A mensagem da Vupen no microblog, postada na quarta-feira, implica uma vulnerabilidade que permitiria a um cracker passar pelas tecnologias de segurança contidas no Windows 8 , incluindo Address Space Layout Randomization (ASLR), anti-Return Oriented Programming e medidas DEP (Data Execution Prevention). A companhia também indicou que não está associado a problemas com o Flash, da Adobe.
"Certamente, se o bug for confirmado, então isso poderá ser um tapa na cara da Microsoft, ter seu mais seguro, novo e elogiado sistema operacional com falhas de segurança encontradas logo após o seu lançamento", afirmou o diretor de operações de segurança da nCircle, Andrew Storms.
A oportunidade de mercado para uma exploração de sucesso pode ser limitada devido ao lançamento do Windows 8 ser recente, mas "por outro lado, ninguém confirmou essa falha não é também funcional em uma versão anterior do Windows ou do internet Explorer", disse Storms.
O Pentester e consultor senior da empresa de segurança HackLabs, Jody Melbourne, disse que a vulnerabilidade pode ser útil a um desenvolvedores de terceiros, interessado em roubar códigos de certificados de assinatura ou códigos-fonte.