Skupina pro analýzu hrozeb společnosti Google nedávno odhalila skupinu škodlivých chyb zabezpečení v aplikacích Adobe Flash a Microsoft Windows jádro které byly aktivně používány pro útoky malwaru na prohlížeč Chrome. Google veřejně oznámil bezpečnostní chybu ve Windows pouhých 10 dní poté, co ji 21. října oznámil společnosti Microsoft. Google také poukázal na to, že útočníci a programátoři mohou tuto chybu agresivně využít ohrozit zabezpečení v systémech Windows získáním přístupu na úrovni správce k počítačům pomocí a malware.
Toho lze dosáhnout tím, že umožníme méně než čestným vývojářům uniknout z izolovaného prostoru zabezpečení systému Windows, který spouští pouze aplikace na úrovni uživatele, aniž by potřeboval přístup správce. Ponořte se trochu hlouběji do technických detailů, win32k.sys, starší podpora systému Windows Knihovna používaná hlavně pro grafiku, je vydána konkrétní výzva, která zaručuje plný přístup k Windows životní prostředí. Google Chrome již má pro tento druh chyby zavedený obranný mechanismus a blokuje tento útok na Windows 10 pomocí úpravy pískoviště Chromium s názvem „
Uzamčení Win32k“.Google popsal tuto konkrétní chybu zabezpečení systému Windows následovně:
"Zranitelnost systému Windows je lokální eskalace privilegií v jádru Windows, kterou lze použít jako únik z karantény zabezpečení." Může být spuštěno prostřednictvím systémového volání win32k.sys NtSetWindowLongPtr () pro index GWLP_ID na popisovač okna s GWL_STYLE nastaveným na WS_CHILD. Sandbox prohlížeče Chrome blokuje systémová volání win32k.sys pomocí zmírnění uzamčení Win32k v systému Windows 10, což zabraňuje zneužití této chyby zabezpečení v sandboxu. “
Ačkoli se nejedná o první setkání Google s bezpečnostní chybou Windows, zveřejnili veřejné prohlášení týkající se této chyby zabezpečení a byly později napadl můj Microsoft za vydání veřejné poznámky před oficiálním sedmidenním limitem, který je výrobcům softwaru poskytnut k vydání a opravit.
"Po 7 dnech, za naše." zveřejněné zásady pro aktivně využívané kritické chyby zabezpečení, dnes prozrazujeme existenci zbývající kritické zranitelnosti ve Windows, pro kterou dosud nebyla vydána žádná doporučení ani oprava, “napsal Neel Mehta a Billy Leonard ze skupiny Google pro analýzu hrozeb. “Tato chyba zabezpečení je obzvláště závažná, protože víme, že se aktivně využíván. “
A zranitelnost nulového dne je veřejně zveřejňovaná bezpečnostní chyba nová pro uživatele. A teď, když uplynulo sedmidenní časové období, stále není k dispozici žádná oprava opravy týkající se této chyby od společnosti Microsoft.
Chyba zabezpečení Flash (zveřejněná také 21. října), kterou Google sdílel s Adobe, byla opravena 26. října. Uživatelé tedy mohou jednoduše aktualizovat na nejnovější verzi Flash. Microsoft ale znovu aktivně poukázal na to, že u jednoduchého webového pluginu, jako je Flash, není vydání aktualizace do sedmi dnů náročný cíl, ale pro složitý operační systém, jako je Windows, je téměř nemožné kódovat, testovat a vydat opravu bezpečnostní chyby v rámci týden.
Nejen Microsoft, ale i mnoho dalších významných softwarových entit se aktivně postavilo proti této kontroverzní politice společnosti Google týkající se odhalování nedostatků v rámci týdenní limit, ale Google tvrdí, že pro veřejnou bezpečnost je bezpečnější vytvářet povědomí o přetrvávající chybě, která může ohrozit uživatele bezpečnost.
