Pesquisadores de segurança descobriram uma falha grave no software do Google para busca em desktop que pode ser usada para invadir e vasculhar o computador da vítima.

A falha, reportada na quarta-feira (21/02) pela Watchfire já foi corrigida. O Google está distribuindo a atualização automaticamente, mas o usuário que quiser garantir que está rodando a versão mais recente pode fazer o download.

Para se proteger contra a falha, os usuários devem rodar a versão 5.0.701.30540 ou posterior, disse o porta-voz do Google, Barry Schnitt, por e-mail.

O Google foi notificado do problema em 4 de janeiro e produziu a correção em 1º de fevereiro, segundo porta-voz da Watchfire.

Além da correção, o Google acrescentou na atualização mais uma camada de verificações de segurança para proteger o usuário de vulnerabilidades similares no futuro, segundo Schnitt. “Não recebemos relatórios de que a vulnerabilidade tenha sido explorada”, acrescentou ele.

A Watchfire ressaltou em um relatório publicado na quarta-feira os perigos de integrar aplicações baseadas em web ao desktop.

A falha está em um parâmetro de busca usado pela função de Busca Avançada do Google Desktop, que pode ser usada para executar códigos JavaScript maliciosos, segundo a Watchfire.

Para realizar o ataque, o criminoso teria que passar por uma série de etapas, incluindo invadir o Google.com para achar vulnerabilidades de scripting cruzado nos sites – algo que já foi feito algumas vezes no passado, segundo a Watchfire.

Se bem sucedido, no entanto, o ataque seria devastador. O criminoso poderia fazer qualquer busca no computador da vítima levando a ferramenta a rodar códigos maliciosos armazenados em outro computador, de acordo com a Watchfire.