Um criminoso online colocou à venda um software que explora uma falha sem correção no novo sistema operacional da Microsoft, o Windows Vista, reportou a fornecedora de segurança Trend Micro.

O código foi oferecido em um fórum de hackers no último mês, disse Raimund Genes, chief technology officer (CTO) Trend Micro, nada menos que 50 mil dólares.

Genes não soube dizer se o código realmente funcionava, ou se foi realmente comprado por alguém, mas acredita que seria difícil que hacker tivesse acesso ao fórum sem ao menos fornecer uma amostra confiável. “Acho que ele definitivamente tinha alguma coisa”, disse Genes. “A questão é se alguém pagou por ela”.

Se a oferta for legítima, seria a primeira falha séria reportada no Vista desde seu lançamento, em novembro. A versão para usuário final será lançada no próximo mês.

A Microsoft vem investigando a afirmação da Trend, mas não foi “contatada diretamente por nenhuma parte a respeito da vulnerabilidade, nem estamos envolvidos com fóruns nos quais vulnerabilidades são sabidamente trocadas”, disse a empresa em um comunicado.

Se alguém pagou pelo código para a suposta falha sem correção, pagou caro. Segundo Genes, o preço médio de um código similar para o Internet Explorer seria de 5 mil dólares. “Talvez a pessoa tenha pensado, ‘essa é o primeiro código de exploração para o Vista, então posso cobrar caro’”, argumentou o CTO da Trend.

Mas como o Vista é menos adotado que as versões XP ou Windows Server 2003, o criminoso teria poucas vítimas potenciais para atacar com o código.

“Pra ser sincero [o preço para uma falha sem correção no Vista], deveria ser menor”, disse Joe Telafici, vice-presidente de operações Avert, na McAfee. “Não tem ninguém pra ser infectado”.

Menos vulnerabilidades foram reportadas nas semanas seguintes ao lançamento do Vista do que na comparação com o antecessor XP, disse Telafici. Em parte, isso deve a uma profissionalização dos desenvolvedores de pragas, que antes buscavam fama e glória, e hoje estão atrás de dinheiro, segundo especialistas em segurança.

Os criminosos que planejam explorar vulnerabilidades no Vista, terão que aguardar o momento certo para soltar suas pragas, segundo Telafici. “Não me surpreenderia se vulnerabilidades descobertas agora começassem a pipocar no próximo ano”, defende.