Microsoft está insatisfeita com o Google e com a publicação de uma vulnerabilidade no Windows 8.1

Vamos recapitular. No verão passado, o Google anunciou a formação de um grupo de pesquisa chamado 'Projeto Zero' encarregado de detectar e alertar sobre problemas de segurança em seu software ou de outras empresas. Em 30 de setembro, esta equipe alertou a Microsoft sobre a existência de uma vulnerabilidade no Windows 8.1 que pode permitir que terceiros obtenham o controle de uma máquina Windows 8.1 operacional. Ele fez isso acompanhando o aviso de um prazo de 90 dias para aqueles em Redmond resolvê-lo antes de torná-lo totalmente público.

Este último foi o que acabou acontecendo na semana passada. Após esses 90 dias sem que a Microsoft pudesse terminar de corrigi-la, a vulnerabilidade foi tornada pública pelo grupo de pesquisa do Google, permitindo que qualquer pessoa a conhecesse e detalhando como poderia ser explorado. Isso não foi apreciado em Redmond, onde eles já estavam trabalhando em uma solução. Tão pouco gostou que Chris Betz, diretor sênior do Microsoft Security Response Center (MSRC), decidiu publicar uma nota lamentando a ação dos de Mountain View e pedindo um melhor entendimento entre as equipes de segurança das empresas.

Betz critica muito o desempenho do Google no assunto. Aparentemente, de Redmond teria pedido à equipe do 'Projeto Zero' para adiar a publicação da decisão até 13 de janeiro, quando planejavam distribuir uma solução por meio de seus conhecidos patches de terça-feira.Infelizmente, os de Mountain View não atenderam ao pedido e isso motivou sua resposta defendendo uma melhor forma de colaborar neste tipo de situação.

Na Microsoft consideram errada a estratégia seguida pela Google de ter uma equipa de pesquisa a encontrar vulnerabilidades em produtos concorrentes, aumentando a pressão com um prazo para que sejam resolvidos e ameaçando publicá-lo se for ultrapassado. Nem todas as vulnerabilidades representam o mesmo nível de ameaça e muitas vezes não têm uma solução rápida ou a sua aplicação é mais ou menos complicada, pelo que estabelecer uma contagem regressiva para a sua publicação não é a melhor forma de incentivar a sua solução.

De Redmond advogar mais para que os pesquisadores alertem empresas de forma privada sobre possíveis vulnerabilidades e trabalhem com elas em uma correção sem exigir limites temporários ou ameaçar publicação.

Via | Microsoft