Google e Microsoft pareciam em paz por algum tempo, mas as duas empresas voltaram a se bicar sobre a ética da descoberta e publicação de falhas de segurança. O grupo de análise de ameaças do Google divulgou detalhes sobre uma vulnerabilidade considerada crítica no Windows em um post público, tornando a informação conhecida a todos antes de dar à Microsoft a chance de corrigir o problema.

Segundo o blog, a falha é bastante específica, mas séria o bastante para ser considerada crítica. Ela permite que um agressor escape de um sandbox por meio de uma falha no sistema win32k envolvendo o Flash (sempre ele) e o Windows. O Google observa que a falha em si não é nova, e que já foram detectadas formas de ataque usando esta vulnerabilidade.

Existe um protocolo ético para casos assim. A empresa que detectou a falha (no caso, o Google) relata para a desenvolvedora do software (a Microsoft) e dá algum tempo para que o bug seja solucionado. Após este tempo, o problema é exposto publicamente, e qualquer um, bem-intencionado ou não, poderá saber, o que é uma forma de forçar uma ação por parte dos responsáveis pelo software.

O problema é que a Microsoft reclama que o prazo oferecido pelo Google não foi suficiente para que nenhuma ação fosse tomada. Foram apenas 10 dias entre o relato da falha e a divulgação pública. O Google diz que a Adobe foi capaz de resolver a parte do problema que tangia o Flash dentro do prazo estabelecido, distribuindo uma atualização no dia 26.

“A publicação de hoje pelo Google coloca consumidores em risco potencial. Recomendamos que as pessoas usem o Windows 10 e o Microsoft Edge para melhor segurança”, disse um representante da Microsoft ao VentureBeat.

Apesar de o Google só ter dado uma descrição geral e não ter entrado em detalhes sobre qual é o problema, só a informação de que há uma brecha deve aumentar o interesse do cibercrime, visando atingir aqueles que ainda não realizaram a atualização do Flash, e são muitas as pessoas que não atualizam o Flash regularmente.

Este prazo pequeno foi estabelecido em uma política de 2013, do Google, mas foi a primeira vez que a empresa ofereceu um período tão curto ao desenvolvedor. Em outros casos, o Google já havia sido criticado pela Microsoft mas o prazo havia sido maior, com 90 dias de folga para atualização.

“Encorajamos usuários a verificar se a atualização automática do Flash já instalou a correção, e atualizar manualmente caso não, e aplicar os patches da Microsoft quando eles estiverem disponíveis”, diz o Google.