Microsoft critica Google por revelar detalhes de bug no Windows 8.1 antes de correção

O Google publicou que existe um bug no Windows 8.1 ainda sem correção — e, claro, a Microsoft não gostou nem um pouco disso. A falha foi descoberta no Project Zero, o projeto de pesquisa em segurança do Google, que tem como política a revelação da falha 90 dias depois do aviso à empresa responsável pelo software. A Microsoft foi avisada em 13 de outubro do ano passado e planejava lançar o patch para consertar a brecha amanhã —a tradicional Patch Tuesday, termo usado pela indústria para se referir ao dia habitual do lançamento de correções e outros updates, geralmente na segunda ou quarta terça-feira do mês.

A Microsoft diz que pediu ao Google para não revelar o bug antes da correção, mas o que prevaleceu foi a política padrão do Project Zero. Num post no blog de segurança da Microsoft, o diretor Chris Betz criticou duramente a atitude, que ele chama de “pegadinha”.

Liberar informações sem contexto ou sem instruções para proteção coloca mais pressão num ambiente técnico já bastante conturbado. É necessário avaliar a potencial vulnerabilidade, projetar e avaliar a ameaça e publicar um “conserto”antes dela ser revelada ao público, incluindo aí aqueles que podem usar a brecha para orquestrar um ataque.

Betz defende a chamada Coordinated Vulnerability Disclosure (ou CVD, que quer dizer “publicação coordenada de vulnerabilidades”), uma política em que as empresas conversam para trocar informações e evitam revelar falhas ainda sem correção, para não expor os consumidores a um risco desnecessário.

Por outro lado, Ben Hawkes, pesquisador do Google, defendeu a publicação numa discussão sobre um caso semelhante — o Google revelou outra falha do Windows 8.1 em 31 de dezembro do ano passado, no meio do recesso de fim de ano — na página do projeto

Prazos para divulgação são atualmente a melhor abordagem para a segurança do usuários — eles permitem que os desenvolvedores tenham um intervalo de tempo justo e razoável para por em prática seus processos de gestão de vulnerabilidades, ao mesmo tempo que respeitam o direito dos usuários de saber e compreender os riscos que estão correndo.

É uma briga entre duas gigantes e uma discussão complicada. Por enquanto, o que temos de concreto é uma falha ainda sem conserto (até amanhã, pelo menos) — e provavelmente ela não será a última a vir a público dessa forma. [The Next Web, ZDNet, PCWorld]

Fonte: Gizmodo

Tagged , , , , , , , . Bookmark the permalink.