Die Threat Analysis Group von Google hat kürzlich eine Reihe schädlicher Sicherheitslücken in Adobe Flash und den Microsoft Windows-Kernel die aktiv für Malware-Angriffe gegen den Chrome-Browser verwendet wurden. Google hat die Sicherheitslücke in Windows nur 10 Tage nach der Offenlegung gegenüber Microsoft am 21. Oktober öffentlich bekannt gegeben. Google wies auch darauf hin, dass dieser Fehler von Angreifern und Programmierern aggressiv ausgenutzt werden könnte, um kompromittieren Sie die Sicherheit in Windows-Systemen, indem Sie Zugriff auf Administratorebene auf die Computer erhalten, indem Sie a Schadsoftware.
Dies kann erreicht werden, indem weniger ehrlichen Entwicklern ermöglicht wird, der Sicherheits-Sandbox von Windows zu entkommen, die nur Apps auf Benutzerebene ausführt, ohne Administratorzugriff zu benötigen. Ein wenig tiefer in die technischen Details eintauchen, die win32k.sys, ein Legacy-Support-Windows-System Bibliothek, die hauptsächlich für Grafiken verwendet wird, wird ein spezieller Aufruf ausgegeben, der vollen Zugriff auf das Windows gewährt Umgebung. Google Chrome verfügt bereits über einen Abwehrmechanismus für diese Art von Fehler und blockiert diesen Angriff auf Windows 10 mit einer Modifikation der Chromium-Sandbox namens „
Win32k-Sperrung“.Google hat diese spezielle Windows-Sicherheitslücke wie folgt beschrieben:
„Die Windows-Schwachstelle ist eine lokale Rechteerweiterung im Windows-Kernel, die als Sicherheits-Sandbox-Escape verwendet werden kann. Er kann über den win32k.sys-Systemaufruf NtSetWindowLongPtr() für den Index GWLP_ID an einem Fensterhandle mit GWL_STYLE auf WS_CHILD ausgelöst werden. Die Sandbox von Chrome blockiert win32k.sys-Systemaufrufe mithilfe der Win32k-Lockdown-Mitigation unter Windows 10, die die Ausnutzung dieser Sandbox-Escape-Sicherheitslücke verhindert.“
Obwohl dies nicht die erste Begegnung von Google mit einer Windows-Sicherheitslücke ist, veröffentlichten sie eine öffentliche Erklärung zu einer Sicherheitslücke und wurden später mein Microsoft verprügelt, weil es vor der offiziellen siebentägigen Frist, die Softwareherstellern eingeräumt wird, einen öffentlichen Hinweis veröffentlicht zu haben, eine Fix.
“Nach 7 Tagen, pro unsere veröffentlichte Richtlinie für aktiv ausgenutzte kritische Sicherheitslücken, geben wir heute die Existenz einer verbleibenden kritischen Sicherheitslücke in Windows bekannt, für die noch kein Ratgeber oder Fix veröffentlicht wurde“, schrieb Neel Mehta und Billy Leonard von der Threat Analysis Group von Google ausgenutzt."
EIN Zero-Day-Sicherheitslücke ist eine öffentlich gemeldete Sicherheitslücke, die für Benutzer neu ist. Und jetzt, da die Frist von sieben Tagen abgelaufen ist, gibt es immer noch keinen Patch-Fix für diesen Fehler von Microsoft.
Die Flash-Sicherheitslücke (ebenfalls am 21. Oktober bekannt gegeben), die Google mit Adobe geteilt hat, wurde am 26. Oktober gepatcht. So können Benutzer einfach auf die neueste Flash-Version aktualisieren. Aber andererseits hat Microsoft aktiv darauf hingewiesen, dass die Veröffentlichung eines Patches innerhalb von sieben Tagen für ein einfaches Web-Plugin wie Flash keine anspruchsvolles Ziel, aber für ein komplexes Betriebssystem wie Windows ist es fast unmöglich, innerhalb eines Zeitraums eine Sicherheitslücke zu codieren, zu testen und einen Patch zu erstellen Woche.
Nicht nur Microsoft, sondern viele andere große Softwareunternehmen haben sich dieser umstrittenen Politik von Google, Fehler innerhalb eines Wochenlimit, aber Google hat behauptet, dass es für die öffentliche Sicherheit sicherer ist, auf einen anhaltenden Fehler aufmerksam zu machen, der den Benutzer gefährden könnte Sicherheit.
