O Google é bastante rigoroso em relação às regras do Project Zero quando se trata de divulgação: uma empresa tem 90 dias para corrigir o bug depois de ser informada pelo Google e, em seguida, ele é anunciado ao público. O Google fez isso na semana passada com o anúncio de dois bugs não corrigidos, e agora está fazendo novamente.
Uma falha de segurança no Microsoft Edge e no Internet Explorer foi relatada pela primeira vez à Microsoft em 25 de novembro de 2016. Foi oferecido à Microsoft o prazo padrão de 90 dias para corrigir o problema antes que o Google o anunciasse ao mundo. Com o cancelamento da Patch Tuesday deste mês, a Microsoft não emitiu uma correção, e agora o bug está disponível para o mundo inteiro ver.
Os detalhes, se é que o senhor consegue entendê-los, estão documentados aqui. Aparentemente, são necessárias apenas 17 linhas de código HTML para causar a falha dos navegadores e também pode causar a execução arbitrária de códigos. O ataque se concentra principalmente em duas variáveis: “rcx” e “rax”.
