E o Project Zero da Google faz mais uma vítima dentro da Microsoft…. desta vez o alvo da divulgação de falhas de segurança antes da Microsoft liberar correções foi o Microsoft Edge. No começo do ano passado eles tornaram pública uma grave falha na kernel do Windows 10 antes da Microsoft corrigi-la e agora o fizeram novamente.
A nova falha divulgada pela Google na Web é “Microsoft Edge: ACG bypass using UnmapViewOfFile“. Não vamos detalhar a falha aqui para não aumentar ainda mais sua propagação pela web afim de proteger os usuários do programa, mas os engenheiro do projeto a consideraram de nível médio, porém, ainda é preocupante.
Como de costume, a Google deu um prazo de até 90 dias a Microsoft para que a falha fosse corrigida antes de tornar a informação pública, mas já deu para perceber que a correção não foi feita a tempo. Sobre isso a Google disse:
Este erro está sujeito a um prazo de divulgação de 90 dias. Depois de decorridos 90 dias ou um patch que seja amplamente disponível, o relatório de erro se tornará visível ao público.
Como a falha foi descoberta em novembro, aconteceram as duas coisas, passaram os 90 dias e também foram liberados patchs de segurança para o Windows dentro desse prazo. Sobre tudo isso a Microsoft disse:
“…A solução é mais complexa do que inicialmente era prevista, e é muito provável que não possamos cumprir o prazo de lançamento de fevereiro devido a esses problemas de gerenciamento de memória. O time é positivo que este estará pronto para ser solucionada em 13 de março, no entanto, isso está além do SLA de 90 dias e do período de carência de 14 dias para se alinhar com as Marcas de Atualizações “.
Mesmo diante do exposto pela Microsoft e mesmo diante das justificativas e pedido de alargamento de prazo, a Google resolveu divulgar a falha na internet.
Não somos contra o Project Zero, muito pelo contrário, porém, não somos favoráveis a casos como o citado acima. Se a empresa por trás do software ou do hardware anuncia uma data para corrigir a falha, deveria haver um alargamento de prazo. Inclusive a Google parece selecionar a quem concederá o benefício de alargamento de prazo, pois, para quem não sabe, alguns dos responsáveis pelo Project Zero da Google também foram alguns dos responsáveis pela descoberta das falhas Meltdown e Spectre nos chips da Intel e AMD, mas, a Google esperou 6 meses (180 dias) para tornar a falha pública. Quem sabe seja por que ambas as falhas também afetam alguns dispositivo com Chrome OS…
Se a ideia do projeto é tornar a web um local mais seguro, a comunicação entre as empresas interessadas deveria ser melhorada, afinal, quem mais vai sofrer com a exploração da falha é o usuário e não as empresas.
Fonte: windowsblogitalia
Comentários