Googles trusselsanalysegruppe har for nylig afdækket et sæt skadelige sårbarheder i Adobe Flash og Microsoft Windows-kerne der blev brugt aktivt til malwareangreb mod Chrome-browseren. Google har offentligt meddelt sikkerhedsfejl i Windows kun 10 dage efter offentliggørelse af det for Microsoft den 21. oktober. Google påpegede også, at denne fejl kunne bruges aggressivt af angribere og kodere til kompromitter sikkerheden i Windows-systemer ved at få adgang på administratorniveau til computere ved hjælp af en malware.
Dette kan opnås ved at give mindre end ærlige udviklere mulighed for at flygte fra Windows 'sikkerhedssandkasse, der kun udfører apps på brugerniveau uden behov for administratoradgang. Dykker lidt dybere ned i det tekniske, win32k.sys, et ældre Windows-system bibliotek, der hovedsageligt bruges til grafik, udstedes et specifikt opkald, der giver fuld adgang til Windows miljø. Google Chrome har allerede en forsvarsmekanisme på plads for denne form for fejl og blokerer dette angreb på Windows 10 ved hjælp af en ændring af Chrom-sandkassen kaldet “Win32k-lås“.
Google beskrev denne særlige Windows-sårbarhed som følger:
“Windows-sårbarheden er en eskalering af lokalt privilegium i Windows-kernen, der kan bruges som en sikkerheds-sandbox-flugt. Det kan udløses via win32k.sys-systemkaldet NtSetWindowLongPtr () for indekset GWLP_ID på et vindueshåndtag med GWL_STYLE indstillet til WS_CHILD. Chromes sandkasse blokerer win32k.sys-systemopkald ved hjælp af Win32k-låsedæmpning i Windows 10, hvilket forhindrer udnyttelse af denne sårbarhed i sandkasseudslip. "
Selvom dette ikke er Googles første møde med en Windows-sikkerhedsfejl, frigav de en offentlig erklæring om en sårbarhed og var senere basherede min Microsoft for at frigive en offentlig note inden den officielle syv-dages grænse, der tildeles softwareproducenter at udstede en rette op.
“Efter 7 dage pr. Vores offentliggjort politik for aktivt udnyttet kritiske sårbarheder, vi afslører i dag eksistensen af en tilbageværende kritisk sårbarhed i Windows, for hvilken der endnu ikke er frigivet nogen rådgivning eller rettelse, ”skrev Neel Mehta og Billy Leonard fra Googles Threat Analysis Group. ”Denne sårbarhed er særlig alvorlig, fordi vi ved, at den er aktivt udnyttet. ”
EN nul-dags sårbarhed er en offentliggjort sikkerhedsfejl, der er ny for brugerne. Og nu hvor den syv-dages periode er gået, er der stadig ingen patch-fix tilgængelig vedrørende denne fejl fra Microsoft.
Flash-sårbarheden (også offentliggjort den 21. oktober), som Google delte med Adobe, blev opdateret den 26. oktober. Så brugere kan simpelthen opdatere til den nyeste version af Flash. Men så igen har Microsoft aktivt påpeget, at for et simpelt web-plugin som Flash er det ikke en udstedelse af en patch inden for syv dage udfordrende mål, men for et komplekst operativsystem som Windows er det næsten umuligt at kode, teste og udstede en patch for en sikkerhedsfejl inden for en uge.
Ikke kun Microsoft, men mange andre store softwareenheder har aktivt modsat sig denne kontroversielle politik fra Google om at afsløre mangler inden for en uges grænse, men Google har fastholdt, at det er sikrere for den offentlige sikkerhed at skabe opmærksomhed om en vedvarende fejl, der kan kompromittere brugeren sikkerhed.