Todos os sistemas têm vulnerabilidades. Esta afirmação é verdadeira em qualquer parte do mundo. A grande questão é: o que as grandes empresas fazem para eliminar as vulnerabilidades conhecidas.
Durante o ano passado a Google encontrou algumas vulnerabilidades no Windows, reportou à Microsoft e passando algum tempo, divulgou publicamente as vulnerabilidades.
Este ano a história repetiu-se, a Google divulgou mais uma falha de segurança não corrigida no Windows 8.1. A revelação de falhas faz parte do Project Zero que a Google tem promovido com o intuito de deixar a web mais segura. Neste projecto uma equipe de segurança procura por falhas de segurança e notifica a empresa responsável para que faça a correcção. Depois disso há um prazo de 90 dias para a correcção. Depois disso é emitido um alerta público detalhado sobre o problema.
A equipe da Google encontrou uma falha que permite que uma conta limitada acesse o sistema com privilégios de administrador.
Cumprindo com o seu cronograma, a Google notificou a Microsoft sobre uma vulnerabilidade no dia 13 de Outubro de 2014. Passados 90 dias sem a correcção a Google divulgou detalhes da vulnerabilidade neste domingo ( dia 11 de Janeiro).
A Microsoft ficou indignada com a atitude da Google, uma vez que a equipe de segurança da Microsoft disponibilizaria a correcção no dia 13 de Janeiro, com base no seu programa denominado “Patch Tuesday”, que visa disponibilizar actualizações de segurança na segunda terça-feira de cada mês.
A Google já se defendeu, informando que o prazo de 90 dias é válido para todas as empresas e todos os tipos de bugs, logo não podia abrir uma excepção para a Microsoft.
E aí, quem tem razão?