O pacote de correções divulgado na terça-feira (14/08) pela Microsoft incluiu três falhas nos gadgets do Windows Vista, aplicações no desktop que trazem informações de programas ou da web. Para especialistas, os novos alvos indicam a chegada das vulnerabilidades da nova geração.

As falhas descritas em um dos nove boletins de ontem poderiam permitir o ataque com códigos maliciosos, afirma a Microsoft. Os gadgets afetados são o leitor RSS, o de contatos e de previsão do tempo. As vulnerabilidades com o leitor RSS e a previsão do tempo são particularmente perigosas, pois ambos são ativados em uma instalação normal do Vista.

Segundo o comunicado da Microsoft, caso um usuário assine um RSS malicioso no Feed Headlines Gadget, um contato malicioso no Contacts Gadget ou mesmo clica em um link perigoso no Weather Gadget um malfeitor poderia rodar um código no sistema.

Muitos pesquisadores voltaram-se não para as falhas, mas sim ao fato de terem sido executadas nos gadgets do Vista. “Há cerca de seis meses começamos a discutir sobre os novos tipos de vulnerabilidades que encontraríamos”, afirma o diretor do laboratório de pesquisa de vulnerabilidades Qualys, Amol Sarwate, que acrescenta: “Essas falhas confirmam a chegada desta nova geração.”

Segundo Tyler Reguly, pesquisador da nCircle Network Security, quando um usuário assina um endereço RSS ele está, de maneira implícita, confiando naquele endereço. “Essa vulnerabilidade se aproveita dessa relação de confiança", indica Reguly que acredita que essa falha do gadget de RSS prevê o início de tempos difíceis. “Isso não é como clicar em um link no Internet Explorer, essa ação é pré-aprovada.”

Embora essas atualizações sejam as primeiras para ferramentas da Microsoft, gadgets defeituosos não são novidade. Em julho, por exemplo, o Yahoo Widgets foi anunciado com uma vulnerabilidade crítica associada ao controle ActiveX.