A equipe de pesquisa de segurança ofensiva (OSR) da Microsoft divulgou hoje uma falha no navegador Chrome que permitiria a execução remota de código. Além de falar sobre a falha, a empresa também aproveitou a oportunidade para criticar a maneira como o Google atualiza seu navegador.
De acordo com a Microsoft, “o processo do Chrome para resolver vulnerabilidades pode resultar na divulgação pública de detalhes das falhas de segurança antes que as atualizações sejam enviadas aos consumidores”. Em outras palavras, a Microsoft considera possível que falhas do Chrome sejam divulgadas ao público em geral antes que o Google tenha a oportunidade de corrigi-las.
Aqui se falha, aqui se paga
Essa descoberta da falha no Chrome pela Microsoft – bem como sua divulgação e a crítica ao método de atualização do Chrome – são uma espécie de “vingança” da Microsoft. Isso porque o Google já tinha “dedurado” a empresa por diversas falhas de segurança. Em mais de uma ocasião, o Google divulgou falhas antes mesmo que a Microsoft pudesse corrigi-las, furando o manual de boas práticas da segurança digital.
Segundo o Bleeping Computer, essa “vingança” era basicamente a única razão justificável para a Microsoft divulgar essa falha. Todo o processo de descoberta, divulgação e correção do problema aconteceu ao longo de setembro, e a falha só existia numa versão antiga do Chrome – diferente da que a grande maioria dos usuários tem em suas máquinas. Por isso, o site considera que, fora o gostinho de se vingar, não haveria muita necessidade de a Microsoft divulgar essa falha agora.
Corpo mole
Nos outros aspectos, a falha encontrada pela Microsoft seguiu o mesmo protocolo que as demais falhas relatadas ao Google. O Google realizou um pagamento de US$ 15 mil (cerca de R$ 47,5 mil) à Microsoft por ter encontrado o problema; a empresa, por sua vez, doou o dinheiro a instituições de caridade, segundo o MSPoweruser.
Mesmo assim, a correção do problema não foi feita de uma maneira ideal. O Google corrigiu a falha primeiro no repositório do GitHub do Chrome. A correção ao programa, no entanto, só foi feita três dias depois. Com isso, qualquer usuário mal intencionado que percebesse a correção da falha poderia tê-la explorado durante esses três dias.