Se por si só é mau quando uma empresa demora algum tempo a desenvolver uma correção para algum tipo de vulnerabilidade, a situação agrava-se quando esta não lança essa correção para evitar perder algum dinheiro da publicidade.
Dominik Reichl, criador da aplicação de gestão de passwords KeePass 2, revelou que não irá lançar uma correção para uma recentemente descoberta vulnerabilidade, a qual pode permitir a instalação de malware no PC dos utilizadores.
A falha encontra-se no sistema de atualização do KeePass 2, sendo que, uma vez explorada, poderá permitir a terceiros utilizarem o sistema de atualização da aplicação para fazerem o download de praticamente qualquer tipo de malware.
Reichl afirmou que não irá corrigir esta falha (por enquanto), uma vez que a mesma teria custos indirectos para o mesmo, visto que seria necessário aplicar encriptação no sistema de atualização do programa. Ou seja, o programador optou por não corrigir a vulnerabilidade para evitar a perda de receitas oriundas da aplicação (sendo a mesma gratuita).
No entanto, Reichl sublinhou também que possui planos de começar a encriptar o sistema de atualizações assim que possível. No entanto isso não deixa de parte a situação original, onde é preferível manter uma vulnerabilidade ativa para evitar algumas perdas monetárias invés de corrigir um problema substancialmente maior e que poderia afetar milhares de utilizadores.
Via Hacker News
Nenhum comentário
Seja o primeiro!