Mesmo com críticas da Microsoft, Google volta a divulgar bugs no Windows
A revelação de um bug no Windows 8.1 pelo Google no dia 11 deste mês fez a Microsoft não poupar críticas à rival. Mas a relação espinhosa entre ambos os lados está longe de terminar: recentemente, detalhes sobre mais duas falhas não corrigidas vieram à tona.
Nunca é tarde para relembrar que todos estas vulnerabilidades se tornaram públicas por conta do Project Zero, programa que o Google criou em 2014 para diminuir a incidência de problemas de segurança na internet.
Para tanto, uma equipe especializada “caça” falhas importantes em sistemas bastante utilizados. A empresa responsável pelo software é notificada caso algum problema tenha sido identificado e, a partir daí, tem 90 dias corridos para disponibilizar a correção. Se não o fizer, o Google divulga publicamente detalhes sobre a brecha.
Foi assim com o bug relatado no dia 11 e com uma falha divulgada antes, no final de 2014. Foi assim também com os dois casos mais recentes. O primeiro deles, notificado em 17 de outubro do ano passado, tem relação com as configurações de energia do Windows 7 e, segundo a Microsoft, é tão pouco relevante que dispensa correção.
Identificada no mesmo dia, a segunda falha afeta tanto o Windows 7 quanto o Windows 8.x. Esta sim merece um update: o problema faz com que o sistema, sob determinadas circunstâncias, não verifique devidamente a identificação do usuário em operações de criptografia, colocando em risco a proteção de certas informações.
A Microsoft chegou a trabalhar em uma correção para ser liberada junto àquelas disponibilizadas na última terça-feira (13), mas teve que desistir em cima da hora após ter encontrado problemas de compatibilidade no update. A consequência é esta: as duas falhas atingiram o prazo de 90 sem correção e o Google decidiu, então, divulgá-las publicamente.
Desta vez, a reação da Microsoft foi mais “comportada”. A companhia explicou que o segundo bug ganhará correção em fevereiro e que a sua exploração só é possível se uma outra falha não detalhada for utilizada. A empresa disse ainda não ter conhecimento de nenhum ataque relacionado às vulnerabilidades em questão.
O assunto ganha cada vez mais polêmica. Há profissionais de segurança que acreditam que o prazo de 90 dias é suficiente para a disponibilização de correções, enquanto outros creem que a equipe do Project Zero não pode ditar as regras por não conhecer os pormenores de cada software analisado.
Como o Google já deu a entender que continuará seguindo rigorosamente os mandamentos do programa, há quem aposte que a Microsoft decidirá, por fim, apressar o desenvolvimento de updates.
Para ficar dentro do prazo de 90 dias, a companhia pode ter que lançar estas atualizações fora do “Patch Tuesday” (liberação de atualizações de segurança na segunda terça-feira de cada mês). Não é uma possibilidade que agradaria todo mundo: nos departamentos de TI de algumas empresas, os updates “fora de época” podem aumentar os gastos com manutenção e indisponibilização temporária de computadores.
Com informações: Arts Technica