Dizemos que uma das melhores maneiras de nos mantermos seguros é garantir que nossos computadores sejam corrigidos. Mas devemos estar sem qualquer conhecimento conhecido de que até o momento, existem várias vulnerabilidades provavelmente e em uso pelos invasores. A boa notícia é o número de dias entre a identificação de um bug e a correção que está lenta, de acordo com o Google Project Zero. Ele rastreia quanto os fornecedores estão pensando para corrigir os bugs e descobriram que “em 2021, os fornecedores levaram uma média de 52 dias de segurança para corrigir como vulnerabilidades de relaciona no Project Zero. Esta é uma média de cerca de 80 dias [três] anos atrás.”
Ao examinar a lista de bugs relatados de 2019 a 2021, ficou claro que nenhuma plataforma está imune. A Apple tem sido frequentemente apontada como sendo nativamente mais segura do que outras plataformas, mas – conforme medido pelo Google Project Zero – teve um total de 84 bugs, comparado aos 80 da Microsoft. O número médio de dias para corrigir os bugs passou de 71 dias para Apple em 2019 para 64 dias em 2021. Para a Microsoft, o intervalo de tempo caiu de uma média de 85 dias para 76 dias.
Não pense apenas em bugs do sistema operacional de desktop; é importante lembrar também dos bugs nas plataformas de smartphones. No programa Google Project Zero, levou em média 70 dias para corrigir os problemas do iOS (e 72 dias para corrigir os bugs do Android na plataforma Samsung). Onde as duas plataformas divergem é no número de bugs corrigidos. iOS teve 76 contra 10 para Android na plataforma Samsung e 6 na plataforma Android Pixel). Essa discrepância é mais um reflexo de como a Apple cria e implanta software.
“As atualizações de segurança para ‘aplicativos’ como iMessage, FaceTime e Safari/WebKit são todas enviadas como parte das atualizações do sistema operacional, então incluímos a análise do sistema operacional”, disse o Project Zero. “Por outro lado, portanto, como complementos de segurança para autônomos no Android acontecem por meio da Google Play Store, portanto, não estão incluídos aqui nesta análise.”
Para navegadores, aquele com mais usuários também tinha mais bugs. O Google Chrome teve 40 bugs durante esse período de três anos e o tempo mais rápido para corrigir um bug, em média. Mas não fique com você o navegador muitos navegadores são construídos no mecanismo Chromium, portanto, são tão vulneráveis quanto o Chrome, Edge, Opera, Vivaldi, Brave, Colibri, Epic e Iron, entre outros, estão todos no mesmo barco Chromium. Portanto, quando o Chrome receber uma correção de segurança obrigatória, procure atualizações para navegadores alternativos.
Os navegadores são basicamente o novo “sistema operacional”; eles precisam de atenção extra porque são muitas maneiras e porque muitos produtos e serviços foram migrados para a nuvem. Você pode até considerar a execução de versões de desenvolvedor do Chrome e Edge, pois os betas geralmente incluem recursos de segurança que podem protegê-lo melhor. Ou você pode baixar como versões de lançamento Extended Support que podem durar mais do que uma versão duradoura. (O Firefox, por, tem versões Extended Support Release (ESR). Mesmo que você não seja um usuário corporativo, você pode baixar o Firefox ESR — especialmente se quiser uma plataforma segura sem ter que lidar com mudanças por causa da mudança. A vantagem é que as mudanças são demoradas; a promoção é que as mudanças são muitas vezes drásticas. Então, você vai precisa saber quando as mudanças serão feitas.
Outra tática é ter certeza de que seus navegadores estão configurados para atualizar automaticamente e instalar patches automaticamente. Em geral, no Askwoody.com, peço aos usuários que adiem o patch do Windows e esperem até que tenhamos uma solução para quaisquer problemas conhecidos. Mas para navegadores, eu recomendo que você instale as mais; se você sofrer efeito colateral, poderá alternar facilmente para outro navegador até que qualquer bug seja corrigido.
:strip_icc()/i.s3.glbimg.com/v1/AUTH_08fbf48bc0524877943fe86e43087e7a/internal_photos/bs/2018/5/Y/MLzDF3RHyovfXz691oBQ/x400-error-header-2-1.png.pagespeed.gp-jp-jw-pj-ws-js-rj-rp-rw-ri-cp-md.ic.575muyhn0b.png)
Embora acelerar as atualizações de segurança seja geralmente uma coisa boa, lidar com os efeitos colaterais do fornecedor não é. No ano passado, o Chrome passou de atualizações de envio a cada seis semanas para lançamentos a cada quatro semanas. (A versão Extended Security Release recebe lançamentos de recursos a cada 8 semanas.)
Para o Edge, você pode usar o Intune ou uma Política de Grupo para alterar a cadência de atualização para a Versão Estendida. Abra o Editor de Diretiva de Grupo local, vá para Configuração do Computador, Modelos Administrativos, Atualização do Microsoft Edge>Aplicativos>Microsoft Edge. Selecione Substituição do canal de destino e selecione Ativado. Em Opções, escolha “Extended Stable” na lista suspensa Policy.
Conclusão: esteja ciente de que, para todas as vulnerabilidades que são corrigidas todos os meses, há muitas outras ainda sob investigação e ainda não corrigidas. Alguns deles são usados até mesmo por invasores. Sempre que você usar seu computador, seja sempre cauteloso e clique com cuidado. Você está sempre em risco.
