O relatório divulgado na última quinta-feira (11) pela empresa Bit9, intitulado "Aplicativos mais populares de 2008 com vulnerabilidades críticas" foi duramente criticado pelos usuários e pela comunidade Mozilla. O documento indica supostas vulnerabilidades críticas de segurança em aplicativos.
A Folha Online teve acesso, nesta segunda-feira (15), a uma nota oficial da Mozilla sobre o relatório. Nela, a fundação diz que "existem alguns problemas com a metodologia da Bit9 que dificultam a capacidade de tirar conclusões válidas".
"É um teste ineficaz, uma vez que privilegia empresas de software que escondem suas vulnerabilidades de segurança. A Mozilla concentra uma grande quantidade de energia em códigos de segurança universal, e mantém a reputação em matéria de segurança; não brincamos com isso", informa a nota, que também foi publicada no blog de segurança da fundação.
Reprodução |
|
"É um teste ineficaz; privilegia softwares que escondem suas vulnerabilidades", diz a nota |
O relatório da Bit9 apontou os aplicativos que apresentam vulnerabilidades de segurança, se baseando em critérios como funcionalidade no Windows, o fato de ser conhecido no mercado e alvo de muitos downloads pelo consumidor, e também o fato de não ser classificado como produto malicioso pelas organizações de TI e empresas de segurança foram alguns dos critérios utilizados pela empresa para testar os softwares.
Outros dois critérios --a atualização via Windows Update e a lista de falhas ocorridas em 2008-- foram colocados em questão pela Mozilla. "Essas falhas ocorreram durante o ano, mas foram corrigidas alguns dias depois de serem anunciadas. Relatórios de bug não devem ser um substituto para a medição real de segurança", diz a nota.
"O processo de segurança da Mozilla envolve identificação, testes e liberação de atualizações de segurança para manter os usuários seguros. Fazemos isso em público para que as pessoas possam escrutinar nossos processos, e ajudar a torná-los melhor. Sugerir que esta abertura é uma fraqueza porque temos as "vulnerabilidades relatadas" pelo usuário é uma afirmação fora da realidade", diz o comunicado.
Segundo a Mozilla, é "falho" um dos critérios utilizados para composição do relatório da Bit9, que se refere à atualização de software do navegador. "O Firefox não integra o WSUS [sigla de Windows Server Update Services, atualizações do sistema Windows], mas o mecanismo de atualização do Firefox não requer intervenção do usuário, e vemos 90% de atualizações automáticas autorizadas, quando estas são lançadas."
A Microsoft foi procurada, por intermédio de sua assessoria, pela Folha Online, para comentar o relatório da Bit9, uma vez que são empresas parceiras. Até a publicação do texto, a empresa não havia se pronunciado sobre o assunto.