Mensagens anteriores

A Microsoft e a Google têm vindo a passar por alguns períodos de rivalidade, sobretudo no que respeita à partilha de vulnerabilidade com o público, algo que ocorre com cada vez mais recorrência nos últimos anos. Em casos normais, detalhes sobre uma vulnerabilidade devem ser partilhados publicamente apenas depois da empresa responsável corrigir a mesma.

No entanto, a Google voltou recentemente a divulgar uma nova vulnerabilidade no Edge, a qual foi publicamente disponibilizada antes da Microsoft ter tido capacidade de distribuir a correção. Por norma a Google informa os criadores do software vulnerável com um período de antecedência de entre 14 e 90 dias, mas nesta situação a Microsoft afirma que o patch necessita de um período mais alargado de tempo para ser trabalhado, não sendo claro quando irá ficar disponível.

A falha em si encontra-se associada com o Microsoft Edge, mais concretamente com mo motor javascript do navegador, e pode permitir a exploração de recursos para ler conteúdo da memória utilizada no sistema, e consequentemente alguns dados que possam ser armazenados na mesma.

De notar que, segundo o portal Neowin, a Google não possui um prazo especifico para divulgar publicamente as falhas que encontre dentro do seu programa de investigação. Em casos gerais, este período é de 90 dias, mas poderá ser reduzido caso a vulnerabilidade esteja a ser ativamente explorada para fins maliciosos, como aparenta ser o presente caso.

Um dos exemplos onde o período foi aumentado ocorreu com as vulnerabilidades Spectre e Meltdown, onde a empresa adiou a sua divulgação pública pelo período de seis meses, devido sobretudo a não serem falhas que estariam a ser utilizadas em larga escala.

Esta situação também levanta o debate se a Google deve divulgar publicamente falhas de software relacionado com entidades rivais, como é o caso da Microsoft, sem dar um período mais alargado de tempo para que as empresas possam realmente corrigir os problemas.