Microsoft revela que o Google divulgou detalhes sobre vulnerabilidade do Windows apesar de seu pedido para adiá-lo

Um Google Researched encontrou uma vulnerabilidade de segurança não corrigida no Windows 8.1 e postou o bug na página Google Security Research e estava sujeito a um prazo de divulgação de 90 dias. Se passarem 90 dias sem um patch amplamente disponível, o relatório do bug ficará automaticamente visível ao público. Com essa política, o Google publicou as informações de vulnerabilidade na web. Foi uma jogada irresponsável do Google publicar uma vulnerabilidade em um produto como o Windows, que está sendo usado por milhões de pessoas todos os dias.

Hoje, a Microsoft confirmou que solicitou ao Google que atrasasse esse processo por 2 dias até liberar sua correção. Mas, o Google recusou o pedido alegremente sem se preocupar com milhões de usuários.

A filosofia e a ação do CVD estão ocorrendo hoje quando uma empresa – o Google – divulgou informações sobre uma vulnerabilidade em um produto da Microsoft, dois dias antes de nossa correção planejada em nossa cadência de Patch Tuesday bem conhecida e coordenada, apesar de nosso pedido para que eles evitassem fazê-lo. Especificamente, pedimos ao Google que trabalhasse conosco para proteger os clientes retendo detalhes até terça-feira, 13 de janeiro, quando lançaremos uma correção. Embora o cumprimento mantenha o cronograma anunciado pelo Google para divulgação, a decisão parece menos como princípios e mais como uma “pegadinha”, com os clientes que podem sofrer como resultado. O que é certo para o Google nem sempre é certo para os clientes. Instamos o Google a fazer da proteção dos clientes nosso principal objetivo coletivo.

A Microsoft há muito acredita que a divulgação coordenada é a abordagem correta e minimiza o risco para os clientes. Acreditamos que aqueles que divulgam totalmente uma vulnerabilidade antes que uma correção esteja amplamente disponível estão prestando um desserviço a milhões de pessoas e aos sistemas dos quais dependem. Outras empresas e indivíduos acreditam que a divulgação completa é necessária porque força os clientes a se defenderem, mesmo que a grande maioria não tome nenhuma ação, dependendo em grande parte de um fornecedor de software para liberar uma atualização de segurança. Mesmo para aqueles capazes de tomar medidas preparatórias, o risco aumenta significativamente ao anunciar publicamente informações que um cibercriminoso pode usar para orquestrar um ataque e assume que aqueles que tomariam medidas estão cientes do problema. Das vulnerabilidades divulgadas de forma privada por meio de práticas de divulgação coordenadas e corrigidas a cada ano por todos os fornecedores de software, descobrimos que quase nenhuma é explorada antes que uma “correção” tenha sido fornecida aos clientes, e mesmo depois que uma “correção” é disponibilizada publicamente, apenas um quantidades muito pequenas são sempre exploradas. Por outro lado, o histórico de vulnerabilidades divulgadas publicamente antes que as correções estejam disponíveis para os produtos afetados é muito pior, com os cibercriminosos orquestrando ataques com mais frequência contra aqueles que não têm ou não podem se proteger.

Outro aspecto do debate CVD está relacionado ao tempo – especificamente a quantidade de tempo que é aceitável antes que um pesquisador comunique amplamente a existência de uma vulnerabilidade. Corrigir um bug no serviço da Web é completamente diferente de corrigir um bug no Windows, que é um sistema operacional de uma década.

Leia mais sobre isso da postagem no blog da Microsoft.