Clique e receba as novidades quentinhas no Telegram

Mesmo não tendo 100% de razão, a Microsoft se irritou com o fato da Google ter exposto uma grave falha de segurança em seu sistema operacional, o Windows 10. A gigante das buscas expôs o problema por meio do Project Zero.

Google Project zero windows

O Project Zero é uma iniciativa do Google para descobrir falhas de segurança em softwares de outras empresas antes que elas se tornem públicas. O objetivo é tornar a web mais segura, evitando ao máximo o surgimento de vulnerabilidades zero-day (ou “dia zero”), aquelas que são exploradas antes que as empresas consigam liberar suas correções de segurança. Existe uma equipe de funcionários da Google que trabalham 100% do seu tempo para descobrir brechas em qualquer software usado por um grande número de pessoas.

Segundo os engenheiros da Google, a falha possibilita que hackers explorem um bug no kernel do Windows, por meio de uma chamada de sistema win32k.sys, isso prejudicaria a segurança. O problema é em um plug-in web, como o Flash.

Essa vulnerabilidade é especialmente séria porque sabemos que ela está sendo explorada ativamente”, disse um representante do programa da Google

A Google notificou a Microsoft sobre o problema no dia 21 de outubro e esperou o prazo de apenas 10 dias para levar sua descoberta a público. Do outro lado a Microsoft disse:

Acreditamos em uma revelação coordenada de vulnerabilidades, e a revelação feita hoje pelo Google pode colocar usuários em potencial risco” 

O Windows é a única plataforma com um compromisso com o cliente para investigar problemas de segurança relatados e proativamente atualizar dispositivos impactados o mais rapidamente possível. Recomendamos que os clientes que usam o Windows 10 utilizem o navegador Microsoft Edge para obter uma melhor proteção”, revelou um porta-voz da Microsoft ao VentureBeat.

Sabemos que a intenção da Google é muito boa, afinal, é muito bom termos uma grande empresa como ela de olho em outros softwares todos os dias, mas… será que os prazos que eles dão as empresas são mesmo viáveis? Neste caso em específico, por ser uma falha que já vinha sendo explorada, o prazo é de apenas 10 dias. No passado, quando eles descobriram uma falha no Windows 8.1, o prazo foi de 90 dias, isso porque a falha em questão ainda não havia sido explorada. A questão é: quem definiu esses prazos? e com base em que parâmetros?

windows-10-desktop-update-aniversario

A Microsoft alertou a todos que uma atualização será liberada na próxima semana e ela contém a solução para tal falha, no entanto, mesmo sabendo que a atualização virá em alguns dias, a Google optou por expor o problema.

Acreditamos que o que a Google está fazendo é muito bom, no entanto, eles precisam adicionar a sua política um espaço para coisas desse tipo: se a empresa que foi notificada informar que uma atualização chegará em 11 dias, que o prazo para expor o problema seja adequado ao tempo dado pela empresa, pois é aceitável. Agora, se a empresa diz que não tem prazo ou levará meses para fazê-lo, expor a falhar sem dúvida forçará a dona do software a tomar providências mais rapidamente, e assim o programa faria mais sentido. Do jeito que está hoje a Google está agindo como se fosse um juiz e todas as demais são rés, e no final, o principal prejudicado continua sendo os usuários, sendo assim, o Project Zero não parece estar cumprindo com sua missão.

Fontes: Windows Club, TudoCelular e security.googleblog