Google corrige sete vulnerabilidades no Chrome

27 jul 2010 11:30

Este artigo tem mais de 13 anos

A empresa anunciou uma nova versão do seu browser, com a qual corrige sete falhas de segurança, duas delas críticas. As vulnerabilidades foram reportadas por especialistas "externos", que receberam prémios na ordem dos mil euros.

A Google acaba de anunciar a disponibilização da versão estável do Chrome 5.0.375.125 e a correcção de sete falhas de segurança no seu browser, duas delas críticas e relacionadas com vulnerabilidades ao nível do Windows e da biblioteca de software glibc, explica um responsável da empresa, num blog dedicado aos lançamentos do Chrome.

Os responsáveis pela identificação e comunicação à empresa dos problemas receberam um prémio de 1.337 dólares cada um (1.030 euros), ao abrigo de um programa lançado pela Google para incentivar a detecção e reporte de problemas de segurança no seu browser.

Foram ainda registadas mais três vulnerabilidades consideradas de "alto-risco" e uma de "médio-risco", que valeram prémios de 500 dólares cada (384 euros) e outra de "baixo-risco" - sem direito a pagamento.

Segundo fazem ainda notar alguns meios especializados, a empresa tem-se mostrado nos últimos tempos empenhada em reforçar questões relacionadas com a segurança.

Depois de, em Julho, ter reforçado o incentivo a quem encontrasse falhas graves, aumentando o valor a atribuir para até um máximo de 3.333,70 dólares (2.563,83 euros), veio publicamente questionar a política do "divulgação responsável" das falhas de segurança.

De acordo com esta política, um investigador em segurança independente que encontre uma vulnerabilidade deve primeiro reportá-la ao fabricante do software em questão e só depois de corrigida a falha fazer a sua divulgação. O objectivo é evitar que, com a divulgação antes de existir correcção disponível, esta seja explorada por cibercriminosos.

O problema, de acordo com a Google, é que este entendimento também pode levar a algum desleixo por parte das fabricantes de software, que por vezes demoram demasiado tempo a apresentar soluções para os problemas. Outro dos argumentos prende-se com o facto de a divulgação permitir também alertar os utilizadores para os riscos - uma vez que nada garante que a falha não esteja já a ser explorada para fins maliciosos.

Assim, uma solução intermédia podia passar pelo estabelecimento de um prazo dentro do qual os responsáveis pelo software deveriam disponibilizar uma correcção para o problema detectado, findo o qual esta deveria ser divulgada. Sessenta dias foi o limite considerado "razoável" pelos membros da equipa de segurança da empresa, que assinam o post.