Google के थ्रेट एनालिसिस ग्रुप ने हाल ही में Adobe Flash और में हानिकारक कमजोरियों के एक समूह का खुलासा किया है माइक्रोसॉफ्ट विंडोज कर्नेल जिनका सक्रिय रूप से क्रोम ब्राउज़र के खिलाफ मैलवेयर हमलों के लिए उपयोग किया जा रहा था। Google ने 21 अक्टूबर को Microsoft को इसका खुलासा करने के ठीक 10 दिन बाद सार्वजनिक रूप से विंडोज़ में सुरक्षा दोष की घोषणा की है। Google ने यह भी बताया कि इस दोष का आक्रामक रूप से हमलावरों और कोडर्स द्वारा इस्तेमाल किया जा सकता है का उपयोग कर कंप्यूटरों के लिए व्यवस्थापक-स्तरीय पहुंच प्राप्त करके विंडोज सिस्टम में सुरक्षा से समझौता करना मैलवेयर।
यह कम ईमानदार डेवलपर्स को विंडोज़ के सुरक्षा सैंडबॉक्स से बचने की अनुमति देकर प्राप्त किया जा सकता है जो व्यवस्थापक पहुंच की आवश्यकता के बिना केवल उपयोगकर्ता-स्तरीय ऐप्स निष्पादित करता है। तकनीकीताओं में थोड़ा गहराई से गोता लगाने, win32k.sys, एक विरासत समर्थन विंडोज सिस्टम मुख्य रूप से ग्राफिक्स के लिए उपयोग की जाने वाली लाइब्रेरी, एक विशिष्ट कॉल जारी की जाती है जो विंडोज़ तक पूर्ण पहुंच प्रदान करती है वातावरण। इस तरह के दोष के लिए Google क्रोम में पहले से ही एक रक्षा तंत्र है और क्रोमियम सैंडबॉक्स में एक संशोधन का उपयोग करके विंडोज 10 पर इस हमले को रोकता है जिसे "कहा जाता है"
Win32k लॉकडाउन“.Google ने इस विशेष Windows भेद्यता का वर्णन इस प्रकार किया है:
"विंडोज भेद्यता विंडोज कर्नेल में एक स्थानीय विशेषाधिकार वृद्धि है जिसे सुरक्षा सैंडबॉक्स से बचने के रूप में उपयोग किया जा सकता है। इसे WS_CHILD पर GWL_STYLE सेट के साथ विंडो हैंडल पर अनुक्रमणिका GWLP_ID के लिए win32k.sys सिस्टम कॉल NtSetWindowLongPtr() के माध्यम से ट्रिगर किया जा सकता है। क्रोम का सैंडबॉक्स विंडोज 10 पर Win32k लॉकडाउन शमन का उपयोग करके win32k.sys सिस्टम कॉल को ब्लॉक करता है, जो इस सैंडबॉक्स एस्केप भेद्यता के शोषण को रोकता है। ”
हालांकि यह विंडोज़ सुरक्षा दोष के साथ Google की पहली मुठभेड़ नहीं है, उन्होंने एक भेद्यता के बारे में एक सार्वजनिक बयान जारी किया और था बाद में सॉफ्टवेयर निर्माताओं को जारी करने के लिए दी गई आधिकारिक सात-दिन की सीमा से पहले एक सार्वजनिक नोट जारी करने के लिए मेरे Microsoft को कोसा ठीक कर।
"7 दिनों के बाद, हमारे अनुसार सक्रिय रूप से शोषित महत्वपूर्ण कमजोरियों के लिए प्रकाशित नीति, हम आज विंडोज में एक शेष महत्वपूर्ण भेद्यता के अस्तित्व का खुलासा कर रहे हैं जिसके लिए अभी तक कोई सलाह या फिक्स जारी नहीं किया गया है," लिखा था Google के थ्रेट एनालिसिस ग्रुप के नील मेहता और बिली लियोनार्ड। ”यह भेद्यता विशेष रूप से गंभीर है क्योंकि हम जानते हैं कि इसे सक्रिय रूप से किया जा रहा है शोषण किया।"
ए शून्य-दिन भेद्यता उपयोगकर्ताओं के लिए एक सार्वजनिक रूप से प्रकट सुरक्षा दोष नया है। और अब जबकि सात दिन की समयावधि बीत चुकी है, Microsoft की ओर से इस बग के संबंध में अभी भी कोई पैच फिक्स उपलब्ध नहीं है।
फ्लैश भेद्यता (21 अक्टूबर को भी खुलासा किया गया) जिसे Google ने एडोब के साथ साझा किया था, 26 अक्टूबर को पैच किया गया था। तो उपयोगकर्ता आसानी से फ्लैश के नवीनतम संस्करण में अपडेट कर सकते हैं। लेकिन फिर से, माइक्रोसॉफ्ट ने सक्रिय रूप से इंगित किया है कि फ्लैश जैसे साधारण वेब प्लगइन के लिए, सात दिनों के भीतर पैच जारी करना कोई समस्या नहीं है। चुनौतीपूर्ण लक्ष्य, लेकिन विंडोज जैसे जटिल ओएस के लिए, एक सुरक्षा दोष के लिए कोड, परीक्षण और पैच जारी करना लगभग असंभव है। सप्ताह।
न केवल Microsoft बल्कि कई अन्य प्रमुख सॉफ़्टवेयर संस्थाओं ने Google की इस विवादास्पद नीति का सक्रिय रूप से विरोध किया है जिसमें एक सप्ताह की सीमा है, लेकिन Google ने यह सुनिश्चित किया है कि सार्वजनिक सुरक्षा के लिए एक स्थायी बग के बारे में जागरूकता पैदा करना सुरक्षित है जो उपयोगकर्ता से समझौता कर सकता है सुरक्षा।