Google divulga brecha crítica do Windows e irrita a Microsoft

Google divulga brecha crítica do Windows e irrita a Microsoft

As empresas Google e Microsoft, que pareciam viver em paz nos últimos tempos, voltaram a se confrontar num episódio sobre a ética de descoberta e publicação de falhas de segurança.

Na Google, o grupo de análise de ameaças e falhas de sistemas, descobriu e divulgou detalhes sobre a vulnerabilidade considerada crítica no Windows, fazendo essa falha se tornar de conhecimento público antes que a Microsoft tivesse a chance de corrigir o problema.

De acordo com a postagem no blog, trata-se de uma falha muito específica, mas bastante séria, ou seja, o suficiente para ser considerada como crítica. A falha permite que um agressor escape de um sandbox através de um pequeno erro no sistema win32k, envolvendo o Flash, que é bastante sensível ao recebimento e captação de invasões, e o Windows.

O Google informou que a falha, em si, não é algo novo, e que já foram detectadas diversas formas de ataque usando a vulnerabilidade do win32k e o Flash.

O Google não respeitou o protocolo ético

Para casos assim, embora não de forma oficial, existe um protocolo ético e, segundo esse protocolo, a empresa que detectou a falha (neste caso, a Google) informa para a desenvolvedora do software (a Microsoft), dando o tempo necessário para que o bug seja solucionado.

Depois de um tempo o problema é informado ao público e qualquer pessoa, bem intencionada ou não, poderá saber, o que é uma forma de forçar a ação por parte dos responsáveis pelo software que apresentou a falha.

A Microsoft, neste caso do win32k, alega que o prazo oferecido pela Google não tenha sido suficiente para que alguma ação fosse tomada, ou seja, considerou apenas 10 dias entre o relato da falha e a divulgação para o público.

Na troca de alfinetadas, a Google informou que a Adobe, desenvolvedora do Flash, foi capaz de resolver parte do problema do programa dentro do prazo estabelecido, distribuindo uma atualização do Flash antes que a Microsoft tivesse qualquer posição sobre o Windows.

Um representante da Microsoft, em entrevista ao VentureBeat, informou que “a publicação de hoje pelo Google coloca consumidores em risco potencial. Recomendamos que as pessoas usem o Windows 10 e o Microsoft Edge para melhor segurança”.

Embora a Google só tenha passado a público uma descrição geral do problema, não entrando em detalhes sobre a falha encontrada, apenas a informação de que existe uma brecha na segurança pode aumentar o interesse do cibercrime, procurando atingir usuários que ainda não tenham feito a atualização do Flash, e é preciso considerar também que são milhões os que não fazem a atualização do Flash regularmente.

O prazo de 10 dias foi unilateralmente estabelecido pelo Google em sua política divulgada em 2013, mas esta foi a primeira vez que a empresa ofereceu esse prazo ao desenvolvedor. Em outras situações, o Google já havia sido criticada pela Microsoft, embora o prazo tenha sido maior, com 90 dias entre o contato com a desenvolvedora e o limite para informação ao público.

O Google informou ao público também que encoraja sempre os usuários a verificar se a atualização automática do Flash já instalou a correção, fazendo a atualização manual caso não tenha sido feito, aplicando os patches da Microsoft quando eles estiverem disponíveis.

Compartilhe:

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


WhatsApp chat