Google volta a divulgar falha não corrigida no Windows
Em um passado não muito distante, o Google despertou a ira da Microsoft ao divulgar falhas até então não corrigidas no Windows 8.1. Dois anos depois, o Google volta a relatar um bug ainda não resolvido, mas agora no Windows 10. A “culpa” é do atraso no Patch Tuesday.
O que o Google tem a ver com isso? Em 2014, a empresa criou uma iniciativa chamada Project Zero para descobrir falhas de segurança e promover correções em tempo hábil. Quando um bug é encontrado, a empresa responsável é notificada e, a partir daí, passa a ter 90 dias para lançar a correção. Se o prazo não for respeitado, a vulnerabilidade é divulgada publicamente.
É o que aconteceu em 2015 com o Windows 8.1 e é o que acontece agora com o Windows 10 (e outras versões). A falha atual diz respeito à biblioteca GDI, que permite que recursos gráficos sejam usados em dispositivos como impressoras e monitores de vídeo.
Segundo Mateusz Jurczyk, engenheiro do Google que descobriu o problema, a falha permite que conteúdo da memória seja lido por um invasor por meio de um meta-arquivo EMF que pode, por exemplo, estar inserido em um documento do Word.
Esse bug faz parte de um pacote de vulnerabilidades no Windows descoberto em março de 2016 e que foi corrigido três meses depois. Mas, em novembro do ano passado, Jurczyk descobriu que a falha em questão continuou existindo mesmo com o update.
A Microsoft foi novamente notificada, mas o prazo de 90 dias venceu. É por isso que o bug foi divulgado. Dado o seu histórico turbulento com o Project Zero, como a companhia deixou isso acontecer outra vez?
Bom, a falha deveria ter sido corrigida na última terça-feira (14) como parte do Patch Tuesday, pacote de correção que a Microsoft libera periodicamente desde 2003. Mas, por uma razão que não foi bem explicada, a Microsoft decidiu atrasar a liberação do pacote: o Patch Tuesday só estará disponível em 14 de março.
Nenhum representante da Microsoft comentou o recente bug, mas em outubro de 2016, ocasião em que o Google havia divulgado outra falha no Windows, a Microsoft declarou que é a favor da transparência, mas que acredita que a forma como o Google trata a questão das vulnerabilidades pode colocar em risco os usuários do Windows.
Já o Google se defende dizendo que 90 dias é mais do que suficiente para que uma falha seja corrigida.