Lá vamos nós de novo. O Google tem um projeto de segurança para encontrar vulnerabilidades de software e avisar os responsáveis. Se uma correção não for liberada em 90 dias, a falha é divulgada publicamente. E, mais uma vez, a Microsoft estourou o prazo.

Como explica o Neowin, o navegador Edge tem uma falha de segurança de nível “médio”, em um recurso criado para mitigar a execução de código arbitrário.

Foto por Isriya Paireepairit/Flickr

Trata-se do ACG (Arbitrary Code Guard), disponível desde o Windows 10 Creators Update. Basicamente, o Edge tem um processo separado para compilar JavaScript em código nativo e reservar espaço na memória.

O processo roda de forma isolada em uma sandbox, mas segundo o Google, é possível quebrar essa proteção e injetar código executável — e potencialmente malicioso — na memória.

O Google deu o aviso à Microsoft em novembro de 2017. A empresa disse que não conseguiria resolver a falha em 90 dias, por ser mais complexa do que o esperado, então o prazo foi ampliado em mais 14 dias, como é de praxe.

Ainda assim, a Microsoft estourou o prazo, e o Google divulgou a falha. Ela diz que a correção será disponibilizada só em 13 de março, com o Patch Tuesday.

Foto por TheDigitalWay/Pixabay

A iniciativa do Google, chamada Project Zero, revelou publicamente duas falhas sérias no Windows em 2015, e mais outra no ano passado. Isso deixou a Microsoft irritada: ela acredita que o prazo de 90 dias pode ser curto demais em alguns casos.

Em setembro, a Microsoft descobriu uma falha no Chrome que permitia executar código remotamente. Ela foi corrigida em poucos dias no canal beta, mas permaneceu na versão estável “por quase um mês”. Por isso, a empresa só levou isso a público em outubro, após a correção ser liberada para todos.

Com informações: Neowin, The Verge.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Luís Felipe

O engraçado que bugdroid só recebeu correção do Crack 1 mês depois te ter sido divulgado e o Windows 2 meses antes.

paulo yan

kkkkkkkk

Tiago Celestino

Contrataram os melhores pesquisadores na área de segurança. Sem contar nos usuários dos serviços da empresa que podem ser afetados com os bugs dos outros.

Hélio Márcio Matos dos Santos

Tá nada. Vai por mim.

Rafael Schüng

Ai a ferramenta de Debugging tá lá de enfeite.

Marcos Soares Santos

Enquanto isso, o YouTube, da madame Google é um absoluto lixo no Edge e até no Chrome.

Molinex

Aí Suatya Nutella, conta pra esses troxas da gurugue o que acontece com x9 lá na india...

Renan

Google revela seus próprios bugs quando estoura o prazo de correção?

LekyChan

Quem observa os observadores?

Andre Kittler

Chupa Microsoft! <mining monero="" starting...="">
Post digitado de um Android 4.4.4, com <mining monero="" running=""> todas as atualizações de segurança disponíveis.
É muito importaantee <mining monero="" running=""> manter o OS atualizado e obrigado google por deixar evidentesss <mining monero="" running=""> esseeas falhaaass de empressasss qu e nãaa~~o se imoprtam com segurnçaaaAAA <mining monero="" running="">

José Guimarães

Devagar? Tens noção que certos bugs obrigam a revisão e refactory de código que está em desenvolvimento à diversos anos e que novas implementações podem ser uma bola de neve de bugs. Não vamos desacreditar empresas à toa por favor

Daniel

Microsoft está morrendo...

Tori

Lá vem o povo dizer "muh Google não é sinônimo de segurança", e isso è verdade, porém, ela está fazendo o trabalho de demonstrar o quão devagar a Microsoft ou qualquer outra empresa é, quando a questão é segurança.
Incluindo ela mesma.

Caleb Enyawbruce

Eu não tenho mais saco pra briguinha dessas duas aí... boring total. Pra mim já deu

Breno

O Chrome como sinônimo de segurança e estabilidade. A Alphabet Inc. não larga a Microsoft mesmo.