Google chama atenção da Microsoft publicamente sobre falha de segurança no Windows XP

Agora é guerra entre o Google e a Microsoft. Um engenheiro de segurança do Google na Suíça avisou a Microsoft de uma vulnerabilidade no Windows XP, mas depois que eles não cosertaram a falha em cinco dias, ele foi a público com informações que os hackers devem ter adorado.

Tavis Ormandy foi o engenheiro do Google que descobriu o problema, no Centro de Ajuda e Suporte do Windows XP, que permite baixar documentos de ajuda da intenet caso necessário. Mas a vulnerabilidade é que é possível baixar mais do que arquivos de ajuda – você pode "executar comandos arbitrários com os privilégios do usuário atual", de acordo com o engenheiro, com PCs rodando Windows XP SP2 e SP3, e IE7 ou IE8.

Ter ido a público antes que a falha tivesse sido consertada pode não ter sido a melhor ideia, mas Ormandy acredita que é a única forma de fazer a Microsoft sentar e prestar atenção, em vez de deixar o problema para resolver depois: "Se eu tivesse reportado o… problema sem um exploit funcional, eu teria sido ignorado", escreveu ele na newsletter por e-mail Full Disclosure. A Microsoft, compreensivelmente, rebateu a acusação – Jeff Bryant, gerente de grupo do Microsoft Security Response Center, escreveu que sua preocupação "com a revelação pública deste problema, dado que nós só fomos notificados por este pesquisador em 5 de junho".

Especialistas em segurança agora querem punição pública para Ormandy – o CEO da SecTheory, Robert Hansen, diz que ele deveria ser demitido. Eu acho que seria uma punição muito pesada, mas como você se sente quando o Google condena publicamente a Microsoft quanto às suas falhas de segurança – especialmente dado que eles vão abandonar o Windows na sede devido a problemas de segurança? [Full Disclosure via ComputerWorld]