Página Inicial



twitter

Facebook

  Notícia
|

 

MICROSOFT DÁ A DESENVOLVEDORES 180 DIAS PARA CORRIGIR FALHAS DE SEGURANÇA

10/07/2013

A Microsoft informou nesta terça-feira que os desenvolvedores de apps para seus sistemas, produtos e serviços terão 180 dias para corrigir falhas sérias de segurança, após elas serem reportadas, ou o software será removido das lojas online operadas pela empresa.

Impressionado, um especialista em segurança disse que a decisão é sem precedentes. “Estou realmente feliz com os detalhes de como eles irão lidar com isso”, disse Tyler Reguly, gerente de pesquisa em segurança na Tripwire. “Não estou ciente de políticas públicas similares no Google Play ou na App Store da Apple”.

A nova política de segurança foi anunciada nesta terça-feira pelo Microsoft Security Response Center (MSRC), junto com o lançamento das correções de segurança da “Patch Tuesday” de Julho.

A partir de agora, os desenvolvedores devem corrigir vulnerabilidades em seus apps marcadas como “críticas” ou “importantes” - os dois níveis mais severos no sistema de avaliação de ameaças em quatro níveis usado pela Microsoft - em até 180 dias após serem notificados pelo MSRC. Caso não o façam o app vulnerável será removido da loja de aplicativos onde é oferecido.

“Esta mudança em nossa política é apenas mais um dos passos que estamos tomando para nos certificar de que as vulnerabilidades são tratadas adequadamente”, disse a Microsoft.

Os próprios apps da Microsoft para o Windows, Office ou Azure estão sujeitos à nova política. “Nunca vi um fabricante declarar que está disposto a sacrificar seus próprios apps, isso merece os parabéns”, disse Reguly.

Apps que estão sujeitos à janela de 180 dias incluem os que estão na Windows Store, que oferece apps “Modernos” para o Windows 8 e Windows RT, os da Windows Phone Store, Office Store, que oferece apps e add-ons que complementam o Microsoft Office, e o Azure Marketplace, onde consumidores e empresas compram e vendem “Software como um Serviço (SaaS)” e coleções de dados, incluindo conjuntos de informações demográficas ou financeiras. 

Claro, há exceções.

De acordo com o MSRC, os desenvolvedores tem uma janela de 180 dias apenas se a vulnerabilidade não estiver sendo ativamente explorada. Isso dá a entender que bugs que estão sendo usados como ponto de partida para ataques resultarão em muito menos tempo, talvez nenhum, até que a Microsoft remova o app da loja correspondente.

“A nova política nos permite agir rapidamente em todos os casos, que podem incluir a remoção imediata de um app de sua loja”, disse Dustin Childs, uma gerente do grupo de Trustworthy Computing (algo como “Computação Confiável”) em um e-mail. “Tomaremos essa decisão caso-a-caso”.

A Microsoft não respondeu à mais perguntas, incluindo se os desenvolvedores cujos apps estão sob ataque terão algum tempo, e se tiverem, quanto, para corrigir as vulnerabilidades antes que o app seja removido.

“Esperamos que os desenvolvedores corrijam todas as vulnerabilidades muito antes dos 180 dias”, adicionou o MSRC. “Até hoje, nenhum app chegou perto de exceder este limite. Entretanto a Microsoft pode criar exceções, como quando um problema afeta múltiplos desenvolvedores ou é de natureza arquitetural, quando tal ação for proibida por lei ou de acordo com nossos próprios critérios”.

Pesquisadores de segurança que tenham descoberto uma vulnerabilidade em um app do Windows, Office ou Azure, mas que não conseguiram uma resposta satisfatória após contatar diretamente o desenvolvedor podem contatar a Microsoft através do endereço de e-mail secure@microsoft.com. A empresa, provavelmente, fará as coisas andarem.
 
 
 
Fonte: IdgNow

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar