Google ignora pedidos da Microsoft e publica mais uma vulnerabilidade do Windows

Por Redação | 16 de Janeiro de 2015 às 12h10

“Vamos falar sobre os problemas do Windows sim e, se reclamar, vamos falar de novo”. A frase tão usada nas redes sociais pode muito bem ser atribuída ao Google, que ignorou solenemente as críticas feitas nesta semana pela Microsoft e voltou a revelar uma vulnerabilidade do sistema operacional da empresa como forma de pressioná-la a corrigir as falhas o mais rápido possível.

Em mais uma ameaça do tipo zero-day – aquelas sem correções liberadas antes de sua revelação –, a equipe de segurança do Project Zero, do Google, fala em uma falha na autenticação de informações entre diversos usuários logados no Windows 7 ou 8.1. A descrição é extremamente técnica, mas, basicamente, o problema se refere ao armazenamento de informações em trechos da memória compartilhados, permitindo o acesso por utilizadores que não necessariamente têm os privilégios necessários para isso.

De acordo com a companhia, a Microsoft foi notificada sobre o problema no dia 17 de outubro e, até agora, não teria tomado as medidas necessárias para solucioná-lo. Por padrão, o Google avisa as empresas sobre falhas de segurança em seus softwares e aguarda pela correção delas por um período de 90 dias. Passado esse prazo, a gigante das buscas abre o jogo e "dedura" a falha para toda a internet. A revelação das falhas, permitindo que hackers maliciosos se aproveitem delas, serve também para pressionar as fabricantes a tomarem as medidas cabíveis.

Foi justamente esse tipo de atitude que motivou as críticas feitas pela Microsoft no início da semana. A empresa teria pedido ao Google um afrouxamento no prazo, já que o patch de correção para uma falha relatada também em outubro sairia um dia depois do vencimento do prazo de 90 dias. O Project Zero teria ignorado os apelos e, mesmo sabendo que uma atualização estava a caminho, liberou os dados sobre a falha ao público, expondo os usuários do Windows por, pelo menos, 24 horas.

Agora, temos um caso semelhante, só que com uma diferença de dias maior. De acordo com as informações da PC World, um patch para consertar o problema apontado nesta sexta-feira (16) está programado para 10 de fevereiro. A ação, mais uma vez, deve gerar mal estar entre as duas empresas.

Na mesma medida, o Google também critica a Microsoft por sua abordagem em relação às atualizações de segurança. De acordo com as políticas da empresa, patches desse tipo somente são liberados individualmente caso existam relatos de uso malicioso das vulnerabilidades por parte de hackers. Caso contrário, as novidades do sistema são aplicadas em grupos, de forma a tornar o processo de download e instalação mais cômodo para os usuários. A fabricante do Windows ainda não se pronunciou sobre as novas revelações do Project Zero.

Instagram do Canaltech

Acompanhe nossos bastidores e fique por dentro das novidades que estão por vir no CT.