Início » Antivírus e Segurança » Google oferece mais tempo antes de divulgar as falhas dos softwares de terceiros para todo mundo

Google oferece mais tempo antes de divulgar as falhas dos softwares de terceiros para todo mundo

Paulo Higa Por

cadeado-seguranca

O Project Zero é uma iniciativa do Google para tornar a internet mais segura: uma equipe de pesquisadores se dedica a encontrar falhas de segurança nos softwares de terceiros e notificar os desenvolvedores. A partir daí, os fabricantes têm 90 dias para corrigir a vulnerabilidade. Corrigindo ou não, os detalhes da falha são divulgados publicamente após esse prazo. Isso irritou a Microsoft, e o Google anunciou que vai mudar as regras do programa.

A primeira regra (e mais do que justa) é que, caso o prazo de 90 dias se encerre durante o final de semana ou num feriado dos Estados Unidos, ele será estendido até o próximo dia útil. A outra é que as empresas terão um tempo extra: se o prazo acabar, mas uma correção já estiver programada para ser lançada em 14 dias, o Google não irá divulgar os detalhes publicamente — isso, claro, caso o fabricante avise com antecedência.

Essa última regra deve beneficiar especialmente a MicrosoftUma falha do Windows 8.1 foi encontrada e relatada pelo Google no dia 13 de outubro de 2014. Sem correção, o Google publicou os detalhes do bug no dia 12 de janeiro de 2015. O problema é que a Microsoft tem um ciclo de atualizações definido: as correções são liberadas na segunda terça-feira do mês. E essa data caía em... 13 de janeiro de 2015.

Em sua defesa, o Google diz que outras empresas possuem práticas semelhantes: o CERT divulga a falha 45 dias após informar os desenvolvedores, o Yahoo oferece o mesmo prazo de 90 dias e a Zero Day Initiative dá 120 dias. A ideia é que, ao impor um tempo, as fabricantes sejam mais ágeis para corrigir suas vulnerabilidades. O Google também informou que seus produtos, incluindo o Chrome e o Android, estão sujeitos ao mesmo prazo.

Mais sobre: ,