Apesar de terem sido reveladas no início do ano, as falhas Meltdown e Spectre foram reportadas à Intel, AMD, ARM e outras companhias em junho de 2017. Agora, o congresso dos Estados Unidos quer saber das empresas envolvidas as razões para problemas tão graves ficarem restritos a elas por tanto tempo.
Para isso, o Comitê de Energia e Comércio do congresso enviou uma carta (PDF) aos CEOs da Apple, Amazon, AMD, ARM, Google, Intel e Microsoft com nove perguntas relacionadas ao escândalo.
No último dia 3, o Google publicou, como parte do Project Zero (programa que investiga problemas importantes de segurança), um extenso estudo detalhando as duas falhas. Ali, a companhia revela que Intel, AMD e ARM foram avisadas do problema em 1º de junho de 2017.
O próprio congresso reconhece que problemas tão sérios não devem ser divulgados de maneira prematura por conta do risco de as falhas serem exploradas antes das correções. Até aí, tudo bem. No entanto, os congressistas entendem que as informações ficaram sob domínio de apenas poucas empresas. Outras, provavelmente por conta do embargo — previsto para terminar no dia 9, apesar da liberação no dia 3 —, só teriam recebido informações dias antes ou na data da divulgação do Google.
Desenvolvedores que trabalham no Linux estão entre os que criticam essa abordagem. “Normalmente, quando um embargo termina, obtemos cronogramas e detalhes completos do que aconteceu”, afirma Jonathan Corbet, membro da Linux Foundation. “Neste caso, ainda há muitos segredos”, continua.
Os congressistas também entendem que as companhias cientes das falhas desde o início — nomeadamente, aquelas que receberam a carta — tiveram mais tempo para desenvolver soluções, enquanto outras, como empresas de softwares de segurança, foram pegas de surpresa.
Agora, o Comitê de Energia e Comércio quer saber de cada companhia quem determinou o embargo e se nenhuma delas avaliou o impacto negativo que a demora na divulgação poderia causar no mercado, por exemplo. Elas têm até 7 de fevereiro para dar as explicações.
Com informações: ZDNet.