2016/11/03

Google revelou vulnerabilidade crítica do Windows e MS não gostou


A Google deu uso ao novo prazo que tinha definido anteriormente para a revelação de vulnerabilidades, e divulgou publicamente um bug crítico no Windows apenas 10 dias após ter informado a Microsoft, que obviamente não gostou.

A Microsoft já veio dizer que divulgar publicamente estas falhas deixa os utilizadores em (maior) risco, mas a Google refere que esta falha já estava a ser explorada por ataques, pelo que os utilizadores já estão em risco quer isso fosse mantido em segredo ou não. Para além disso refere que já lançou uma actualização para o Chrome para evitar este ataque, cabendo agora à MS corrigir o problema no Windows de modo a que este bug fique definitivamente encerrado.

Os prazos para a revelação pública de vulnerabilidades eram algo que em tempo estava implicitamente acordado que seria de várias semanas (ou até meses), mas que a equipa de segurança da Google veio "revolucionar" ao reduzir esse prazo para apenas 7 dias - um prazo reduzido que foi muito criticado por várias empresas, dizendo que não seria tempo suficiente para corrigir vulnerabilidades graves.

O que é certo é que se se tratam de vulnerabilidades graves que podem deixar os utilizadores em risco, é também inadmissível que se continue vulnerável por semanas e semanas, enquanto essas mesmas falhas podem estar a ser utilizadas por atacantes e tendo como alvos utilizadores que inocentemente continuam a pensar que estão a utilizar um sistema operativo seguro. Nesta altura, penso que é melhor estar informado e fazer-se pressão para a rápida correcção das vulnerabilidades, do que manter essas falhas em segredo.

Sem comentários:

Enviar um comentário (problemas a comentar?)