INTERNET
Google revela outra falha sem correção do Windows e irrita Microsoft
A empresa de Redmond não está nada feliz com o prazo de 90 dias para revelação pública dado pela equipe de pesquisas em segurança do Google, conhecida como Project Zero.
Os membros da Project Zero costumam encontrar vulnerabilidades em produtos de outras empresas. Esses bugs são informados aos fabricantes e, caso não sejam corrigidos em 90 dias, o Google automaticamente torna público o problema.
Em 29/12, a equipe do Google revelou uma vulnerabilidade de elevação de privilégio (EoP) afetando o Windows 8.1, que a Microsoft ainda não tinha corrigido. A vulnerabilidade tinha sido reportada para a Microsoft em 30/9, por isso o prazo de 90 dias já tinha expirado, conforme o Google informou na época.
Neste domingo, 11/1, os pesquisadores da Project Zero revelaram mais uma falha de elevação de privilégio no Windows 8.1, que tinha sido informada para a Microsoft em 13/10.
Dessa vez, a revelação pelo Google irritou a Microsoft, que planejava liberar uma solução nesta terça-feira, 13/1. A empresa de Redmond costuma liberar patches de segurança na segunda terça-feira de todo mês, processo que ficou conhecido como Patch Tuesday no mercado.
Como o nome sugere, uma falha de elevação de privilégio pode ser explorada para conseguir privilégio de administrador em um sistema a partir de uma conta de baixo privilégio. Não são vulnerabilidades críticas, como as que permitem a execução arbritária de código, mas podem tornar essas falhas ainda mais perigosas e devem ser solucionadas.
“Nós pedimos ao Google para trabalhar conosco para proteger os usuários ao segurar os detalhes até terça-feira, 13/1, quando vamos liberar a correção”, afirmou o diretor sênior do Security Response Center da Microsoft, Chris Betz.
“Apesar de termos seguido os passos do timeline anunciado pelo Google para a revelação, a decisão (de liberar a falha) para menos ser algo por princípios e mais por ‘te peguei’, com os consumidores podendo sofrer como resultado disso.”
O post sobre essa vulnerabilidade no tracker da equipe de pesquisas do Google confirma que foi negada uma extensão do prazo para a Microsoft.
“A Microsoft foi informada que o deadline de 90 dias é determinado para todos os fabricantes e tipos de bugs e, por isso, não pode ser estendido”, afirma. “Além disso, eles foram avisados que o deadline de 90 dias dessa falha expirava em 11 de janeiro de 2015.”
Autor
Analista de sistemas e programador, atua profissionalmente com desenvolvimento desde 1993. Passou por diversas áreas com sistemas desktop até conhecer a web e, desde então, focou no desenvolvimento de projetos próprios nessa plataforma online. Colaborador de várias revistas, teve alguns de seus maiores artigos publicados pela editora Digerati.
Comentários