0 Hacker divulga ferramenta que desvenda falhas em navegadores, Microsoft protesta

Engenheiro do Google Michal Zalewski alega ter avisado a Microsoft em julho, empresa de Redmond diz que problemas só foram descobertos em dezembro.

Uma pequena ferramenta chamada cross_fuzz está causando rebuliço no mundo dos navegadores, com protestos da Microsoft contra publicação da ferramenta. O pequeno software foi criado especificamente para descobrir falhas em navegadores e tem se revelado muito competente nesta função: Internet Explorer, Firefox, Opera e navegadores baseados no WebKit (Google Chrome e Safari) já tiveram algumas falhas expostas pelo programinha.

A ferramenta foi criada em meados do ano passado pelo hacker Michal “lcamtuf” Zalewski, atualmente funcionário do Google. As falhas descobertas foram repassadas aos responsáveis por cada navegador afim de que as falhas pudessem ser corrigidas, assim como o próprio cross_fuzz. E aí surge a confusão: enquanto as equipes da Mozilla, Opera e WebKit (o que inclui o Google) já tomaram providências para corrigir as falhas, a Microsoft não consertou o Internet Explorer, preferindo pedir a Zalewski que não divulgasse o programa. Zalewski recusou, e agora a Microsoft o acusa de facilitar a vida dos bandidos online.

Zalewski publicou um relato (http://bit.ly/gkQjjC) de seus contatos com a Microsoft e explica que decidiu publicar o software no tempo previsto por acreditar que as falhas já são conhecida por invasores chineses (http://bit.ly/icZReX). O relações-pública da Microsoft Jerry Bryant alega que até o dia 21/12/10 a empresa de Redmond não havia identificado nem sido informada por Zalewski de nenhuma falha, e por isto ainda a correção ainda não foi liberada.

A falha não é das mais críticas, pois nos Windows Vista e 7 o IE roda em modo protegido, limitando o impacto da vulnerabilidade, e também porque ainda não foi encontrada nenhum vírus ou ataque que faça uso desta brecha de segurança. O efeito mais imediato é portanto o aumento da animosidade entre o Google, onde Zalewski trabalha como engenheiro de segurança de sistemas, e a Microsoft, que em julho havia se queixado da divulgação de outra falha do Windows pelo Google.