Satya Nadella bravo

Em um passado não muito distante, o Google despertou a ira da Microsoft ao divulgar falhas até então não corrigidas no Windows 8.1. Dois anos depois, o Google volta a relatar um bug ainda não resolvido, mas agora no Windows 10. A “culpa” é do atraso no Patch Tuesday.

O que o Google tem a ver com isso? Em 2014, a empresa criou uma iniciativa chamada Project Zero para descobrir falhas de segurança e promover correções em tempo hábil. Quando um bug é encontrado, a empresa responsável é notificada e, a partir daí, passa a ter 90 dias para lançar a correção. Se o prazo não for respeitado, a vulnerabilidade é divulgada publicamente.

É o que aconteceu em 2015 com o Windows 8.1 e é o que acontece agora com o Windows 10 (e outras versões). A falha atual diz respeito à biblioteca GDI, que permite que recursos gráficos sejam usados em dispositivos como impressoras e monitores de vídeo.

Segundo Mateusz Jurczyk, engenheiro do Google que descobriu o problema, a falha permite que conteúdo da memória seja lido por um invasor por meio de um meta-arquivo EMF que pode, por exemplo, estar inserido em um documento do Word.

Esse bug faz parte de um pacote de vulnerabilidades no Windows descoberto em março de 2016 e que foi corrigido três meses depois. Mas, em novembro do ano passado, Jurczyk descobriu que a falha em questão continuou existindo mesmo com o update.

A Microsoft foi novamente notificada, mas o prazo de 90 dias venceu. É por isso que o bug foi divulgado. Dado o seu histórico turbulento com o Project Zero, como a companhia deixou isso acontecer outra vez?

Bom, a falha deveria ter sido corrigida na última terça-feira (14) como parte do Patch Tuesday, pacote de correção que a Microsoft libera periodicamente desde 2003. Mas, por uma razão que não foi bem explicada, a Microsoft decidiu atrasar a liberação do pacote: o Patch Tuesday só estará disponível em 14 de março.

Nenhum representante da Microsoft comentou o recente bug, mas em outubro de 2016, ocasião em que o Google havia divulgado outra falha no Windows, a Microsoft declarou que é a favor da transparência, mas que acredita que a forma como o Google trata a questão das vulnerabilidades pode colocar em risco os usuários do Windows.

Já o Google se defende dizendo que 90 dias é mais do que suficiente para que uma falha seja corrigida.

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.