Geral
Google descobre falha de segurança de 20 anos presente no Windows
Falha crítica de segurança permite que hackers invadam o sistema remotamente
Falha de segurança está presente desde o Windows XP até o Windows 10 — Foto: Isabela Giantomaso/TechTudo
Por Ana Letícia Loubak, para o TechTudo
O Google revelou nesta terça-feira (13) que uma falha crítica de segurança tem afetado todas as versões do Windows nos últimos 20 anos. Presente desde o Windows XP, a vulnerabilidade permite que aplicativos com baixos privilégios enviem comandos para programas com privilégios de administrador. A brecha, que não foi ainda reparada pela Microsoft, foi descoberta pelo especialista em segurança Tavis Ormandy, integrante do Project Zero, equipe do Google responsável por detectar vulnerabilidades em produtos tecnológicos.
Segundo Ormandy, a falha em questão reside no funcionamento de um pequeno módulo de segurança (MS) conhecido como MSCTF. Localizado no kernel — ou núcleo — do Windows, o CTF faz parte do Text Services Framework (TSF), que gerencia métodos de entrada, layouts de teclado, processamento de texto e outras questões similares. Quando explorada, a vulnerabilidade pode permitir que um invasor tenha acesso remoto à máquina.
Quando o usuário faz login no Windows, o sistema operacional inicia um processo chamado “ctfmon”, que opera continuamente em segundo plano e monitora as janelas ativas, oferecendo suporte para funções como layout do teclado. No entanto, ao permitir que programas secundários leiam e gravem dados em aplicações com privilégios superiores, o CTF abre caminho para que hackers iniciem ataques remotos ao computador.
Aproveitando-se da ausência de controles de acesso ou de qualquer tipo de autenticação, invasores podem executar ações restritas a usuários e softwares com privilégios de administrador. Segundo Ormandy, isso inclui ler e escrever o texto de qualquer janela, falsificar IDs e driblar os mecanismos de segurança das sandboxes.
“A pesquisa revelou que era possível atravessar sessões e violar os limites de segurança do Windows por quase 20 anos, e ninguém notou isso”, afirmou Ormandy em um post no blog do Google Project Zero. O especialista indicou, ainda, que o CTF apresenta pequenas corrupções de memória que propiciam falhas de segurança críticas, como visualizar tudo o que é digitado no computador. Isso permitiria, por exemplo, descobrir todas as senhas inseridas no PC vulnerável.
Ao site da revista Forbes, a Microsoft declarou que “resolveu as questões relacionadas ao CVE-2019-1162 em agosto”. A vulnerabilidade citada, contudo, é apenas uma dentre as que foram descobertas pelo Google. A fabricante do Windows disse que as demais falhas requerem mais tempo para análise e conserto, e as soluções devem ser liberadas de acordo com as atualizações mensais de segurança dos produtos da Microsoft.
Comentários
Paulo do Graça foi visto pela última vez em uma canoa; embarcação foi encontrada abandonada, mas vítima não foi localizada.
A comunidade local, que acompanha o caso com apreensão, lamenta o desaparecimento de Paulo, conhecido por sua dedicação ao trabalho e simpatia. Foto: cedida
O Corpo de Bombeiros encerrou as buscas pelo corpo de Paulo do Graça, diarista que desapareceu nas águas do Rio Purus, em Sena Madureira, no Acre, na última segunda-feira (24). As operações, que incluíram buscas subaquáticas e superficiais, não obtiveram sucesso em localizar a vítima.
De acordo com relatos de moradores, Paulo foi visto pela última vez saindo do porto da comunidade Silêncio em uma canoa. No dia seguinte, o barco foi encontrado abandonado nas proximidades do seringal Regeneração, aumentando as preocupações sobre o seu paradeiro.
As equipes de resgate trabalharam por dias na região, mas as condições do rio e a falta de pistas concretas dificultaram as operações. A comunidade local, que acompanha o caso com apreensão, lamenta o desaparecimento de Paulo, conhecido por sua dedicação ao trabalho e simpatia.
O Corpo de Bombeiros informou que, por enquanto, as buscas estão suspensas, mas podem ser retomadas caso novas informações surjam. Enquanto isso, familiares e amigos aguardam por respostas sobre o destino do diarista.
Comentários
As conversas gravadas mostram que a advogada mencionou que “quem a enviou foi o pessoal de fora”, com referências à organização criminosa, e que ela usou códigos e mensagens cifradas
A defesa impetrou Habeas Corpus para sustentar que o juiz da execução penal não tem competência para autorizar as escutas e que elas representam prova ilegal por violarem as prerrogativas da advocacia. Foto: internet
O juiz da execução penal é competente para iniciar procedimentos de ofício, ou a pedido de autoridades como o Ministério Público, sempre que houver interesse na manutenção da segurança e da ordem no estabelecimento prisional.
Com esse entendimento, a 5ª Turma do Superior Tribunal de Justiça negou provimento a recurso em Habeas Corpus ajuizado por uma advogada que teve suas conversas com um preso monitoradas pela Justiça de Goiás.
As escutas foram feitas no parlatório da unidade prisional, a pedido do MP, por indícios de que as atividades do preso, membro de uma organização criminosa, estavam sendo facilitadas pela advogada.
A defesa impetrou Habeas Corpus para sustentar que o juiz da execução penal não tem competência para autorizar as escutas e que elas representam prova ilegal por violarem as prerrogativas da advocacia relacionadas ao sigilo entre advogado e cliente.
Juiz da execução penal é competente
No entanto, a relatora do recurso, ministra Daniela Teixeira, observou que o Tribunal de Justiça de Goiás identificou motivos suficientes para justificar o monitoramento das conversas entre advogada e preso.
Isso porque ela não possuía vínculo formal com ele, como procuração para atuar em seu nome nos processos. E não foi designada pela família do detento.
As conversas gravadas mostram que a advogada mencionou que “quem a enviou foi o pessoal de fora”, com referências à organização criminosa, e que ela usou códigos e mensagens cifradas.
“A inviolabilidade do sigilo profissional pode ser mitigada em situações excepcionais, como quando há indícios da prática de crimes por parte do advogado”, explicou a ministra Daniela ao citar a jurisprudência do STJ sobre o tema.
Além disso, ela apontou que o juízo da execução penal é competente para iniciar procedimentos de ofício, ou a pedido de autoridades como o MP, sempre que houver interesse na manutenção da segurança e da ordem no estabelecimento prisional.
“No caso em questão, o pedido do Gaeco foi motivado por indícios de que as atividades de um dos presos, líder da organização criminosa, estavam sendo facilitadas pela advogada”, concluiu ela. A votação foi unânime.
Comentários
Confronto ocorreu na Praça do Estudante durante tradicional jogo com balões e água; vídeos mostram momento de descontrole
O vídeo, no entanto, continua a viralizar, gerando debates sobre a segurança durante as festas de Carnaval e a necessidade de maior supervisão em eventos públicos que envolvem jovens. Foto: captada
Um vídeo que circula nas redes sociais mostra uma briga descontrolada entre menores de idade durante as comemorações de Carnaval na Praça do Estudante, em Cobija, Bolívia, nesta segunda-feira. O confronto aconteceu enquanto os jovens participavam de um jogo tradicional boliviano que envolve balões e água, comum durante a festividade.
Nas imagens, é possível ver o momento em que a briga se inicia, com empurrões, socos e correria, deixando os espectadores em choque. Apesar da natureza lúdica da atividade, a situação rapidamente escalou para a violência, chamando a atenção de moradores e autoridades locais.
Até o momento, não há informações sobre feridos ou intervenção policial no local. O vídeo, no entanto, continua a viralizar, gerando debates sobre a segurança durante as festas de Carnaval e a necessidade de maior supervisão em eventos públicos que envolvem jovens. As celebrações, que costumam ser marcadas por alegria e diversão, foram manchadas pelo episódio de descontrole.
Veja vídeo com TV Unitel:
Comentários
Você precisa fazer login para comentar.