Microsoft explica por que não corrige bugs ou brechas de segurança específicas

Nesta terça-feira (12), a Microsoft divulgou em um documento intitulado "Security Servicing Commitments for Windows" informações a respeito de bugs que ela escolherá não corrigir, bem como os motivos para isso. As explicações são destinadas a pesquisadores de segurança e falam sobre como funcionam os recursos de segurança, limites e mitigações que existem no Windows, além dos compromissos dos serviços que os acompanham.

No documento, a companhia também acrescenta que quer saber o que pesquisadores acham sobre suas políticas de serviços. Entre outras coisas, a Microsoft também esclarece como costuma abordar problemas e bugs relatados pela comunidade. Basicamente, esse é um processo feito em duas etapas: na primeira, a companhia questiona-se a respeito da vulnerabilidade do problema e se ele viola algum limite ou um recurso de segurança que a empresa se comprometeu a defender; na segunda, ela mede a gravidade da falha e do bug.

Caso as duas respostas sejam positivas, a vulnerabilidade será resolvida por meio de uma atualização de segurança, fornecida o mais rápido possível. Caso a respostas seja negativa, por padrão, a atualização para a vulnerabilidade em questão é adiada para uma próxima versão do sistema e não por intermédio de um update de segurança – embora possa haver exceções.

A Microsoft também classifica os erros em cinco níveis: crítico, importante, moderado, baixo e nenhum. A companhia apenas corrige bugs considerados críticos ou importantes.

Fonte: The Register