O Google publicou um bug no Windows 8.1 ainda sem correção — e, claro, a Microsoft não gostou nem um pouco disso. A falha foi descoberta no Project Zero, o projeto de pesquisa em segurança do Google, que tem como política a revelação da falha 90 dias depois do aviso à empresa responsável pelo software. A Microsoft foi avisada em 13 de outubro do ano passado e planejava lançar o patch para consertar a brecha amanhã —a tradicional Patch Tuesday, termo usado pela indústria para se referir ao dia habitual do lançamento de correções e outros updates, geralmente na segunda ou quarta terça-feira do mês.
A Microsoft diz que pediu ao Google para não revelar o bug antes da correção, mas o que prevaleceu foi a política padrão do Project Zero. Num post no blog de segurança da Microsoft, o diretor Chris Betz criticou duramente a atitude, que ele chama de “pegadinha”.
Liberar informações sem contexto ou sem instruções para proteção coloca mais pressão num ambiente técnico já bastante conturbado. É necessário avaliar a potencial vulnerabilidade, projetar e avaliar a ameaça e publicar um “conserto”antes de ser revelada ao público, incluindo aí aqueles que podem usar a brecha para orquestrar um ataque.
Betz defende a chamada Coordinated Vulnerability Disclosure (ou CVD, que quer dizer “publicação coordenada de vulnerabilidades”), uma política em que as empresas conversam para trocar informações e evitam revelar falhas ainda sem correção, para não expor os consumidores a um risco desnecessário.
Por outro lado, Ben Hawkes, pesquisador do Google, defendeu a publicação numa discussão sobre um caso semelhante — o Google revelou outra falha do Windows 8.1 em 31 de dezembro do ano passado, no meio do recesso de fim de ano — na página do projeto
Prazos para divulgação são atualmente a melhor abordagem para a segurança do usuários — eles permitem que os desenvolvedores tenham um intervalo de tempo justo e razoável para por em prática seus processos de gestão de vulnerabilidades, ao mesmo tempo que respeitam o direito dos usuários de saber e compreender os riscos que estão correndo.
É uma briga entre duas gigantes e uma discussão complicada. Por enquanto, o que temos de concreto é uma falha ainda (até amanhã, pelo menos) sem conserto — e provavelmente ela não será a última a vir a público dessa forma. [TheNextWeb, ZDNet,PCWorld]
Nenhum comentário:
Postar um comentário