Neste domingo (11), o Google divulgou mais uma falha de segurança não corrigida no Windows 8.1. A anterior, publicada no final de 2014, provavelmente deixou a Microsoft irritada, mas a companhia manteve a calma. A mais recente, porém, parece ter sido a gota d’água.

A revelação de falhas faz parte do Project Zero, um programa que tenta deixar a web mais segura. Funciona assim: uma equipe do Google especializada em segurança vasculha sistemas com número considerável de usuários à procura de bugs importantes. Quando uma falha é encontrada, a empresa responsável pelo software é notificada.

Depois do aviso, a companhia tem 90 dias corridos para disponibilizar uma correção. Quando este prazo não é respeitado, o Google libera um alerta público detalhado sobre o problema. É o que aconteceu em relação à Microsoft.

O primeiro bug foi relatado em 30 de setembro de 2014. Após 90 dias, nenhuma correção havia sido disponibilizada. Esta constatação levou o Google a reportar a falha publicamente no final de dezembro.

Satya Nadella "bravo" - Foto: Business Insider

Satya Nadella ficou “brabo”

Houve o mesmo ritual na falha mais recente: a Microsoft foi notificada em 13 de outubro, mas 90 dias se passaram e nada. Consequentemente, o Google divulgou detalhes da vulnerabilidade neste domingo.

O que deixou a Microsoft “pê da vida” é que a liberação da atualização foi programada para amanhã, dia 13, em respeito a um calendário que ficou conhecido como “Patch Tuesday”: há anos que a companhia disponibiliza atualizações de segurança na segunda terça-feira de cada mês.

Ficou um clima de “custava ter esperado mais dois dias?” no ar. Chris Betz, diretor do Security Response Center da Microsoft, afirmou ter informado o Google do plano para que a empresa segurasse o alerta até esta terça-feira. Nada feito.

Em sua defesa, o Google explicou que a Microsoft foi avisada tanto do prazo (11 de janeiro) quanto do fato de o deadline de 90 dias ser válido para todas as empresas e todos os tipos de bugs, sem exceções.

As opiniões sobre o assunto divergem. Na lista que discute a falha (esta aqui em relação ao primeiro caso), há quem defenda os 90 dias como um prazo mais do que razoável, assim como há quem argumente que o Google não tem o código-fonte do sistema operacional, portanto, não sabe quão complexa é a resolução do problema.

A falha em questão permite a uma conta limitada acessar o sistema com privilégios de administrador. A princípio, não é possível explorar a brecha via malwares, mas o acesso indevido pode ser usado para baixar a segurança do Windows, por exemplo, uma das razões para o problema ser considerado importante.

Com informações: BBC, The Next Web

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Yuri da Silva
Mude para Ubuntu e seja feliz :)
Ranieri
A Google está fazendo um favor. Um erro conhecido é menos perigoso que um que apenas algumas pessoas, talvez com intenções não tão boas, conhecem.
Tiago Antunes De Souza
o google não criou a falha, apenas a descobriu e deu um prazo de 90 dias antes de divulgar, e a microsoft tem o direito inclusive de nunca disponibilizar uma atualização para essa falha se quiser. isso vai dela
Andersøn

Não é paixão, nem gosto de assistir sessão da tarde.
Todas as empresas que você citou estão em guerra por uma coisa que é o nosso DINHEIRO.
Bugs no Android sempre existiram e sempre vão existir. Aliás em qualquer sistema e concordo com você que a Samsung realmente deixou os telefones dela uma porcaria com o Touchwiz, mas mesmo o Android puro não tem todos os recursos necessários então as fabricantes vão mudar alguma coisa. Motorola e LG sempre põem algumas "coisinhas" em seus Androids.

Independente de quem o Google dê importância uma coisa é certa: A Microsoft SEMPRE vai querer os royalties dela por cada Android vendido e o Google JAMAIS comprará essas patentes. Eles podem se esforçar ao máximo para serem os líderes, o que importa para a Microsoft (eu acho) é vencer a apple. Ela sempre terá o dinheiro dos royalties do Android mas as vendas do Windows Phone.
Se eu ou você fôssemos dono dela é claro que iríamos querer o primeiro lugar em vendas seguido pelo Android ou vice-versa porque DINHEIRO seria bom demais para os nossos cofres não é verdade?!

O que realmente pode acontecer no futuro é a Motorola, a LG, a Sony, Asus e outros fabricantes quererem produzir Windows Phone também.
Acredito que a integração de sistemas (desktop, tablets, notebooks e smartphones) seja o futuro. A apple investiu nisso, o Windows está caminhando para essa direção e é o S.O. mais usado no mundo em PCs e Notebooks.
Você realmente acha que o Chrome O.S. vai vencer essa guerra?
Vamos aguardar as cenas dos próximos capítulos da sessão da tarde!
;)

disqus_LIGMUFnPQH
Não é paixão, nem gosto de assistir sessão da tarde. Todas as empresas que você citou estão em guerra por uma coisa que é o nosso DINHEIRO. Bugs no Android sempre existiram e sempre vão existir. Aliás em qualquer sistema e concordo com você que a Samsung realmente deixou os telefones dela uma porcaria com o Touchwiz, mas mesmo o Android puro não tem todos os recursos necessários então as fabricantes vão mudar alguma coisa. Motorola e LG sempre põem algumas "coisinhas" em seus Androids. Independente de quem o Google dê importância uma coisa é certa: A Microsoft SEMPRE vai querer os royalties dela por cada Android vendido e o Google JAMAIS comprará essas patentes. Eles podem se esforçar ao máximo para serem os líderes, o que importa para a Microsoft (eu acho) é vencer a apple. Ela sempre terá o dinheiro dos royalties do Android mas as vendas do Windows Phone. Se eu ou você fôssemos dono dela é claro que iríamos querer o primeiro lugar em vendas seguido pelo Android ou vice-versa porque DINHEIRO seria bom demais para os nossos cofres não é verdade?!
Ygor Mutti
Sem querer sair do tópico, mas já saindo... Esses dispositivos estão desatualizados. A Google quer que os fabricantes e operadoras mantenham os aparelhos atualizados, mas não tem o poder de obrigá-los. Nenhuma empresa gosta de dar manutenção em versões antigos dos seus sistemas, o que é irônico porque os fabricantes e operadoras também não gostam. É de se esperar que a Google tome atitudes como essa, para forçar a atualização. Também não concordo, mas vejo como uma medida desesperada por uma boa causa. Voltando ao tópico... por que você acha que a Microsoft tem um bom motivo? Por que é a Microsoft? Concordo com o que diz um dos comentários deste post: errar não é apenas para empresas pequenas. O que foi bom para uma época pode não ser mais hoje, o que é bom hoje pode não ter sido adequado em outra época. O jeito que a Microsoft faz não é automaticamente melhor que qualquer ideia nossa só porque ela conhece os clientes dela e nós nao. O substituto do IE, por exemplo, terá atualizações frequentes. É um passo em direção a entrega contínua. Não dou muito tempo para que essa possibilidade chegue ao Windows, para os que desejarem. Nos Linuxes para servidores já é assim há muito tempo, e ninguém está reclamando.
Tiago
Depende muito do seu cliente. Quem conhece os clientes da Microsoft é ela. Se ela possui essa política de atualizações é porque tem motivo. Onde eu trabalho já aconteceu de descobrirmos um erro e mesmo com a solução pronta termos que esperar quase uma semana para liberar. Então é aquela estória: cada um sabe onde o calo aperta. Irresponsável é a Google que ao saber de uma falha de segurança que atinge mais de 1 bilhão de dispositivos Android, vira e diz: não vou arrumar.
Ygor Mutti
Ué? As empresas são obrigadas a homologar e atualizar tudo assim que a MS divulga? Se não podiam parar, por que não deixavam pra homologar as correções na primeira terça do mês? "O que os olhos não veem o coração não sente?" Que bobagem... Quando a Microsoft decide segurar até a data ela coloca em risco várias empresas e usuários que tem uma política mais flexível de atualização, ou cuja segurança é um aspecto crítico.
Ygor Mutti
Menos mal. Mas o texto dá a entender que MS não precisava desses dois dias a mais e segurou o patch, que já estava pronto no prazo estipulado pelo Google para divulgação da falha, apenas para cumprir a agenda.
Ygor Mutti
E em que aspecto a Microsoft lançar patches em intervalos de tempo menores interfere nisso? Se eles lançarem uma média de 30 patches por mês, por exemplo, qual a diferença, **para a empresa que homologa**, entre lançar um por dia ou os 30 num dia fixo? A empresa pode homologar tudo num dia fixado por ela nos dois casos. O que ela não pode é homologar uma coisa que está pronta mas não foi liberada, então liberar num dia fixo tem mais desvantagens **para essa empresa** do que vantagens. Mesmo que fizesse sentido, não acho que justificaria deixar a maioria das instalações de Windows, em computadores pessoais, esperando. A questão é: segurar um patch de correção de um bug que permite escalada de privilégios (isto é grave, independente do cliente ser empresa ou não) para cumprir a agenda é razoável? Não. E se forem apenas dois dias? Menos mal. Isso demonstra o nível de preocupação da MS com a segurança do Windows. Fosse um BSD ou Linux da vida, liberaria o patch imediatamente. Desenvolvo software para uma empresa e entendo os motivos pelos quais a MS preferiria segurar os patches, e pra mim esses motivos são sinais claros de que há problemas no processo de liberação.
ܝܘܚܢܢ ܒܝܬ ܐܦܪܝܡ

Bem vindo a internet.

The Power Guido
Bem vindo a internet.
ܝܘܚܢܢ ܒܝܬ ܐܦܪܝܡ

Você foi contra a atitude de um sistema automatizado, hihihi, dá zero pra ele

The Power Guido
Você foi contra a atitude de um sistema automatizado, hihihi, dá zero pra ele
Marcelo Santos

A internet não é de ninguém. Não é porque o Google possui alta influência e dominância na internet que caracteriza ela como "dona". Existe concorrência por aqui (e isso é ótimo!)

É claro que o Google não é santo, mas no caso do projeto, acredito que a Microsoft vacilou.

Exibir mais comentários