Que o Flash Player tem problemas sérios na estrutura ninguém tem dúvidas: basta acompanhar os boletins de segurança da própria fabricante dele, Adobe, para ver que sempre um bug ou outro considerado ‘crítico’ (grave) é corrigido. Pior, muitas vezes são ‘alguns’, não apenas um. Então não dá pra fazer de conta que os problemas não existem e que as versões estáveis do Flash são realmente estáveis. E depois da correção, na próxima versão praticamente sempre terá mais falhas ‘críticas’, é questão de tempo (semanas?) para que um novo boletim apareça corrigindo falhas que a própria Adobe declara como críticas… Apesar disso é complicado deixar de usar o Flash de uma hora para outra, já que está tão enraizado nos sites da web.
Nesta semana a Adobe lançou uma atualização para o Flash Player nas várias plataformas suportadas, afirmando que corrigiu 13 bugs críticos. Como muitos sabem, a Google desenvolve um trabalho bem próximo à Adobe no Flash Player, pois ele vem integrado ao Chrome. A cada atualização do Flash o pessoal da Google atualiza o Chrome estável.
Tudo seria mais uma atualização qualquer do Flash Player, mas Tavis Ormandy, engenheiro da Google que trabalhou na correção de vários bugs recentes, contestou o número de vulnerabilidades corrigidas em seu Twitter. “A Adobe corrigiu cerca de 400 vulnerabilidades únicas que enviei para eles referentes ao APSB11-21 como parte de uma auditoria de segurança”. E ainda afirmou que não foi erro de digitação.
APSB11-21 é o referido boletim de segurança da Adobe desta atualização. De 13 para 400 é um número absurdo, não?
Wiebke Lips, representante de comunicação corporativa da Adobe, reclamou – também em seu Twitter – que estavam confundindo arquivos com vulnerabilidades únicas, ou seja, apesar de vários arquivos corrigidos, as vulnerabilidades seriam poucas mesmo. E ainda questionou “cadê a agenda do Google?” (no sentido de gerenciamento de projetos, provavelmente). Ele removeu a mensagem do Twitter depois, mas ficou linkado em vários sites.
Tavis Ormandy respondeu em seguida que estavam querendo minimizar o problema, informando um número menor de bugs já que o real era bem alto.
A página da Adobe agradece a ele pelos bugs corrigidos: “A Adobe gostaria de agradecer também a Tavis Ormandy e a equipe do Google Chrome pelo excelente trabalho em várias melhorias para esta versão do Flash Player”. Mas isso não foi suficiente como forma de agradecimento, pelo visto ele quer mostrar que os bugs eram em maior quantidade e prometeu um relatório próprio que listaria os mesmos.
No anúncio no blog do Google Chrome o agradecimento ao Tavis também se destacou. Não foram citados 400 bugs, mas uma quantidade “significativa”, além de muito tempo dedicado pelo pessoal do Chrome. Provavelmente isso não se refere apenas a 13 vulnerabilidades.
Resta aguardar o relatório do Tavis, que ainda tenta contato com a Adobe para esclarecer melhor isso. Coisa feia, hein? Se a Adobe realmente esconde os bugs para parecer que o problema é menor, há de se repensar a reputação que o Flash tem, considerando que praticamente todos os computadores para acesso à web acabam precisando dele, uma hora ou outra.
Esta postagem foi modificada pela última vez em 10/08/2011 20:41