Microsoft critica Google por revelar detalhes de bug no Windows 8.1 antes de correção
A Microsoft diz que pediu ao Google para não revelar o bug antes da correção, mas o que prevaleceu foi a política padrão do Project Zero. Num post no blog de segurança da Microsoft, o diretor Chris Betz criticou duramente a atitude, que ele chama de “pegadinha”.
Liberar informações sem contexto ou sem instruções para proteção coloca mais pressão num ambiente técnico já bastante conturbado. É necessário avaliar a potencial vulnerabilidade, projetar e avaliar a ameaça e publicar um “conserto”antes de ser revelada ao público, incluindo aí aqueles que podem usar a brecha para orquestrar um ataque.Betz defende a chamada Coordinated Vulnerability Disclosure (ou CVD, que quer dizer “publicação coordenada de vulnerabilidades”), uma política em que as empresas conversam para trocar informações e evitam revelar falhas ainda sem correção, para não expor os consumidores a um risco desnecessário.
Por outro lado, Ben Hawkes, pesquisador do Google, defendeu a publicação numa discussão sobre um caso semelhante — o Google revelou outra falha do Windows 8.1 em 31 de dezembro do ano passado, no meio do recesso de fim de ano — na página do projeto
Prazos para divulgação são atualmente a melhor abordagem para a segurança do usuários — eles permitem que os desenvolvedores tenham um intervalo de tempo justo e razoável para por em prática seus processos de gestão de vulnerabilidades, ao mesmo tempo que respeitam o direito dos usuários de saber e compreender os riscos que estão correndo.É uma briga entre duas gigantes e uma discussão complicada. Por enquanto, o que temos de concreto é uma falha ainda (até amanhã, pelo menos) sem conserto — e provavelmente ela não será a última a vir a público dessa forma.
Nenhum comentário:
Postar um comentário