O Google tomou uma atitude nesta sexta-feira (30) que deve incomodar a Microsoft. A empresa revelou, por meio de seu Project Zero, uma nova brecha no Windows que já está sendo ativamente usada pelo cibercrime e que não deverá ser corrigida por um período de pelo menos duas semanas.
Normalmente, o Project Zero dá um prazo maior para as empresas poderem corrigir suas vulnerabilidades antes de elas serem expostas e transformadas em conhecimento público. O grupo do Google costuma dar 90 dias para que a falha seja divulgada, massa divulgação pode ocorrer antes se for lançada uma correção. No entanto, neste caso específico, como a vulnerabilidade já é conhecida e utilizada pelo cibercrime, o prazo dado foi de apenas 7 dias.
O prazo mais curto fez com que a Microsoft não fosse capaz de lançar uma correção a tempo. Na prática, isso significa que, neste momento, a vulnerabilidade está aberta e se tornou conhecimento público, aumentando os riscos para os usuários.
A falha em questão é identificada como CVE-2020-117087. Os cibercriminosos utilizavam uma combinação de vulnerabilidades no sistema operacional e no navegador Chrome, que permitiam escalar privilégios no sistema e executar código remotamente nos dispositivos afetados, permitindo tomar controle da máquina. O Google lançou uma correção para o browser, mas a falha do Windows segue aberta.
Os pesquisadores do Google informam que a correção para a vulnerabilidade só saia no dia 10 de novembro, quando acontece a Patch Tuesday, como é conhecida a segunda terça-feira de cada mês, quando a Microsoft libera todas as suas atualizações de segurança de uma só vez. Em comunicado publicado pelo Ars Technica, a companhia nota que nem sempre é viável lançar uma correção tão rapidamente como os pesquisadores apontaram.
“A Microsoft tem um compromisso com o consumidor de investigar falhas de segurança e atualizar os dispositivos impactados para proteger os consumidores. Apesar de trabalharmos para respeitar os prazos de divulgação de todos os pesquisadores, mesmo em prazos curtos como neste caso, desenvolver uma atualização de segurança é um equilíbrio entre agilidade e qualidade, e nossa meta é garantir proteção máxima proteção com o mínimo de perturbação”, diz o comunicado.
Do outro lado, o Google defende que a divulgação rápida dos detalhes tem vantagens em defesa, e que há poucas chances de que um novo ataque seja desenvolvido entre a divulgação dos detalhes e o lançamento de uma correção, especialmente porque o ataque dependia de uma vulnerabilidade no Chrome que já foi solucionada. Além disso, a exposição incentivaria ação rápida contra a ameaça, para que o patch seja produzido com mais urgência.