Google desperta a ira da Microsoft ao divulgar mais um bug no Windows 8.1
Neste domingo (11), o Google divulgou mais uma falha de segurança não corrigida no Windows 8.1. A anterior, publicada no final de 2014, provavelmente deixou a Microsoft irritada, mas a companhia manteve a calma. A mais recente, porém, parece ter sido a gota d’água.
A revelação de falhas faz parte do Project Zero, um programa que tenta deixar a web mais segura. Funciona assim: uma equipe do Google especializada em segurança vasculha sistemas com número considerável de usuários à procura de bugs importantes. Quando uma falha é encontrada, a empresa responsável pelo software é notificada.
Depois do aviso, a companhia tem 90 dias corridos para disponibilizar uma correção. Quando este prazo não é respeitado, o Google libera um alerta público detalhado sobre o problema. É o que aconteceu em relação à Microsoft.
O primeiro bug foi relatado em 30 de setembro de 2014. Após 90 dias, nenhuma correção havia sido disponibilizada. Esta constatação levou o Google a reportar a falha publicamente no final de dezembro.
Houve o mesmo ritual na falha mais recente: a Microsoft foi notificada em 13 de outubro, mas 90 dias se passaram e nada. Consequentemente, o Google divulgou detalhes da vulnerabilidade neste domingo.
O que deixou a Microsoft “pê da vida” é que a liberação da atualização foi programada para amanhã, dia 13, em respeito a um calendário que ficou conhecido como “Patch Tuesday”: há anos que a companhia disponibiliza atualizações de segurança na segunda terça-feira de cada mês.
Ficou um clima de “custava ter esperado mais dois dias?” no ar. Chris Betz, diretor do Security Response Center da Microsoft, afirmou ter informado o Google do plano para que a empresa segurasse o alerta até esta terça-feira. Nada feito.
Em sua defesa, o Google explicou que a Microsoft foi avisada tanto do prazo (11 de janeiro) quanto do fato de o deadline de 90 dias ser válido para todas as empresas e todos os tipos de bugs, sem exceções.
As opiniões sobre o assunto divergem. Na lista que discute a falha (esta aqui em relação ao primeiro caso), há quem defenda os 90 dias como um prazo mais do que razoável, assim como há quem argumente que o Google não tem o código-fonte do sistema operacional, portanto, não sabe quão complexa é a resolução do problema.
A falha em questão permite a uma conta limitada acessar o sistema com privilégios de administrador. A princípio, não é possível explorar a brecha via malwares, mas o acesso indevido pode ser usado para baixar a segurança do Windows, por exemplo, uma das razões para o problema ser considerado importante.
Com informações: BBC, The Next Web
Leia | 6 dicas de segurança para proteger sua conta do Gmail (e Google)