Google oferece mais tempo antes de divulgar as falhas dos softwares de terceiros para todo mundo
O Project Zero é uma iniciativa do Google para tornar a internet mais segura: uma equipe de pesquisadores se dedica a encontrar falhas de segurança nos softwares de terceiros e notificar os desenvolvedores. A partir daí, os fabricantes têm 90 dias para corrigir a vulnerabilidade. Corrigindo ou não, os detalhes da falha são divulgados publicamente após esse prazo. Isso irritou a Microsoft, e o Google anunciou que vai mudar as regras do programa.
A primeira regra (e mais do que justa) é que, caso o prazo de 90 dias se encerre durante o final de semana ou num feriado dos Estados Unidos, ele será estendido até o próximo dia útil. A outra é que as empresas terão um tempo extra: se o prazo acabar, mas uma correção já estiver programada para ser lançada em 14 dias, o Google não irá divulgar os detalhes publicamente — isso, claro, caso o fabricante avise com antecedência.
Essa última regra deve beneficiar especialmente a Microsoft. Uma falha do Windows 8.1 foi encontrada e relatada pelo Google no dia 13 de outubro de 2014. Sem correção, o Google publicou os detalhes do bug no dia 12 de janeiro de 2015. O problema é que a Microsoft tem um ciclo de atualizações definido: as correções são liberadas na segunda terça-feira do mês. E essa data caía em… 13 de janeiro de 2015.
Em sua defesa, o Google diz que outras empresas possuem práticas semelhantes: o CERT divulga a falha 45 dias após informar os desenvolvedores, o Yahoo oferece o mesmo prazo de 90 dias e a Zero Day Initiative dá 120 dias. A ideia é que, ao impor um tempo, as fabricantes sejam mais ágeis para corrigir suas vulnerabilidades. O Google também informou que seus produtos, incluindo o Chrome e o Android, estão sujeitos ao mesmo prazo.