Um equilíbrio difícil
Erik Avakian, conselheiro técnico do Info-Tech Research Group, observou que quando definiu o prazo de correção, a CISA estava operando dentro das diretrizes estabelecidas na Diretiva Operacional Vinculativa (BOD) 22-01, que exige que as agências federais dos EUA corrijam vulnerabilidades dentro dos prazos descritos na política, que variam de 14 a 21 dias.
“Em casos de exploração de alto risco, a CISA pode encurtar o prazo para três dias”, afirmou. “Mas no caso do CVE-2026-32202, a pontuação CVSS foi avaliada em 4,3 e, embora a vulnerabilidade tenha sido explorada ativamente, a classificação não atende ao limite da política para um ciclo de correção mais rápido. Nesse caso, a CISA atribuiu um prazo de 14 dias, que atende ao seu agressivo padrão de cronograma com base na classificação do fornecedor.”
Ele disse que há de fato um argumento de que a janela de 14 dias para corrigir uma vulnerabilidade que está sendo explorada ativamente é muito longa. Mas, disse ele, “presumo que, neste caso, a razão pela qual não foi elevado a um ciclo de patch do tipo diretiva de emergência (que exigiria apenas 48 a 72 horas para corrigir) se deve à classificação da Microsoft, bem como a vários outros fatores”.
Fonte: Computer World
