Foi divulgada publicamente uma falha no Windows Mail, o cliente de correio eletrónico do Windows Vista. O bug foi divulgado na lista de discussão Full-Disclosure por um participante chamado Kingcope e permite que um programa seja executado sem confirmações adicionais, caso o utilizador clique num link numa mensagem de e-mail.
De acordo com Kingcope, a aplicação da falha num ataque é muito limitada, uma vez que é necessária a presença de uma pasta com o mesmo nome do ficheiro que será executado. Também não é possível passar parâmetros para os ficheiro executados, o que diminui ainda mais a gravidade do problema.
Outro participante da Full-Disclosure, Joxean Koret, sugeriu o uso de um caminho no formato UNC, que é normalmente usado para abrir ficheiros em rede, e Kingcope afirmou que foi possível executar um ficheiro remoto com apenas uma confirmação, no entanto ele não deixou claro se o tal ficheiro descarregado foi de um servidor remoto ou outro computador da rede interna.
O erro tem recebido alguma atenção por ser a primeira descoberta no novo programa de e-mail. Ainda não é possível saber se criminosos digitais farão uso desta brecha, visto que não é fácil tirar proveito dela, mas o risco aumentará de forma significativa se a execução de ficheiro remotos for confirmada.
O Windows Mail é o novo cliente de e-mail do Windows Vista, substituindo o Outlook Express que acompanhou todas as versões do Windows desde o Windows 95 OSR 2, e não será disponibilizado para versões anteriores do Windows.
