Neste domingo (11), o Google divulgou mais uma falha de segurança não corrigida no Windows 8.1. A anterior, publicada no final de 2014, provavelmente deixou a Microsoft irritada, mas a companhia manteve a calma. A mais recente, porém, parece ter sido a gota d’água.

A revelação de falhas faz parte do Project Zero, um programa que tenta deixar a web mais segura. Funciona assim: uma equipe do Google especializada em segurança vasculha sistemas com número considerável de usuários à procura de bugs importantes. Quando uma falha é encontrada, a empresa responsável pelo software é notificada.

Depois do aviso, a companhia tem 90 dias corridos para disponibilizar uma correção. Quando este prazo não é respeitado, o Google libera um alerta público detalhado sobre o problema. É o que aconteceu em relação à Microsoft.

O primeiro bug foi relatado em 30 de setembro de 2014. Após 90 dias, nenhuma correção havia sido disponibilizada. Esta constatação levou o Google a reportar a falha publicamente no final de dezembro.

Houve o mesmo ritual na falha mais recente: a Microsoft foi notificada em 13 de outubro, mas 90 dias se passaram e nada. Consequentemente, o Google divulgou detalhes da vulnerabilidade neste domingo.

O que deixou a Microsoft “pê da vida” é que a liberação da atualização foi programada para amanhã, dia 13, em respeito a um calendário que ficou conhecido como “Patch Tuesday”: há anos que a companhia disponibiliza atualizações de segurança na segunda terça-feira de cada mês.

Ficou um clima de “custava ter esperado mais dois dias?” no ar. Chris Betz, diretor do Security Response Center da Microsoft, afirmou ter informado o Google do plano para que a empresa segurasse o alerta até esta terça-feira. Nada feito.

Em sua defesa, o Google explicou que a Microsoft foi avisada tanto do prazo (11 de janeiro) quanto do fato de o deadline de 90 dias ser válido para todas as empresas e todos os tipos de bugs, sem exceções.

As opiniões sobre o assunto divergem. Na lista que discute a falha (esta aqui em relação ao primeiro caso), há quem defenda os 90 dias como um prazo mais do que razoável, assim como há quem argumente que o Google não tem o código-fonte do sistema operacional, portanto, não sabe quão complexa é a resolução do problema.

A falha em questão permite a uma conta limitada acessar o sistema com privilégios de administrador. A princípio, não é possível explorar a brecha via malwares, mas o acesso indevido pode ser usado para baixar a segurança do Windows, por exemplo, uma das razões para o problema ser considerado importante.

Com informações: BBC, The Next Web

Leia | 6 dicas de segurança para proteger sua conta do Gmail (e Google)

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.