קבוצת ניתוח האיומים של גוגל חשפה לאחרונה סט של נקודות תורפה מזיקות ב- Adobe Flash וב- ליבת Microsoft Windows ששימשו באופן פעיל להתקפות של תוכנות זדוניות נגד דפדפן Chrome. גוגל הודיעה בפומבי על פגם האבטחה ב- Windows 10 ימים בלבד לאחר שגילתה אותו למיקרוסופט ב -21 באוקטובר. גוגל גם ציינה כי תוקפים וקודדים יכולים להשתמש בפגם זה באגרסיביות לסכן את האבטחה במערכות Windows על ידי השגת גישה ברמת מנהל המחשבים באמצעות תוכנה זדונית.
ניתן להשיג זאת על ידי מתן אפשרות למפתחים פחות ישרים להימלט מארגז החול האבטחתי של Windows שמבצע רק אפליקציות ברמת המשתמש מבלי להזדקק לגישת מנהל. צולל קצת יותר לעומק בטכניקות, win32k.sys, מערכת Windows תומכת מדור קודם הספרייה המשמשת בעיקר לגרפיקה, ניתנת שיחה ספציפית המעניקה גישה מלאה ל- Windows סביבה. ל- Google Chrome כבר קיים מנגנון הגנה לפגם מסוג זה וחוסם את ההתקפה הזו על Windows 10 באמצעות שינוי בארגז החול כרומי המכונה "נעילת Win32k“.
גוגל תיארה את הפגיעות המסוימת הזו של Windows באופן הבא:
"הפגיעות של Windows היא הסלמה של הרשאות מקומיות בגרעין Windows שיכולה לשמש כבריחה מארגז חול. ניתן להפעיל אותו באמצעות שיחת המערכת win32k.sys NtSetWindowLongPtr () לאינדקס GWLP_ID על ידית חלון עם GWL_STYLE מוגדר כ- WS_CHILD. ארגז החול של Chrome חוסם שיחות מערכת win32k.sys באמצעות הפחתת נעילת Win32k ב- Windows 10, מה שמונע ניצול של פגיעות בריחת ארגז החול הזה. "
למרות שזה לא המפגש הראשון של גוגל עם ליקוי אבטחה של Windows, הם פרסמו הצהרה פומבית בנוגע לפגיעות והיו מאוחר יותר ביסס את מיקרוסופט שלי על שחרור פתק ציבורי לפני המגבלה הרשמית של שבעה ימים המוענקת ליצרני תוכנה להנפקת לתקן.
"אחרי 7 ימים, לפי שלנו מדיניות שפורסמה לניצול פעיל של נקודות תורפה קריטיות, אנו מגלים היום קיומה של פגיעות קריטית שנותרה ב- Windows שעדיין לא פורסמה שום ייעוץ או תיקון, "כתב ניל מהטה ובילי לאונרד מקבוצת ניתוח האיומים של גוגל. "פגיעות זו חמורה במיוחד מכיוון שאנו יודעים שהיא פעילה באופן פעיל מְנוּצָל."
א פגיעות של אפס יום הוא פגם אבטחה שנחשף בפומבי חדש למשתמשים. ועכשיו, לאחר שחלפה פרק הזמן של שבעת הימים, עדיין אין תיקון תיקון זמין לגבי באג זה ממיקרוסופט.
הפגיעות של פלאש (שנחשפה גם ב -21 באוקטובר) שגוגל שיתפה עם אדובי תוקנה ב -26 באוקטובר. כך שמשתמשים יכולים פשוט לעדכן לגרסה האחרונה של Flash. אך שוב, מיקרוסופט ציינה באופן פעיל כי עבור תוסף אינטרנט פשוט כמו Flash, הנפקת תיקון תוך שבעה ימים אינה א יעד מאתגר, אך עבור מערכת הפעלה מורכבת כמו Windows, כמעט בלתי אפשרי לקודד, לבדוק ולהנפיק תיקון למגרעת אבטחה בתוך שָׁבוּעַ.
לא רק מיקרוסופט אלא הרבה גופי תוכנה גדולים אחרים התנגדו באופן פעיל למדיניות השנויה במחלוקת זו של גוגל לחשוף פגמים בתוך מגבלת השבוע, אך גוגל טענה כי בטוח יותר לביטחון הציבור ליצור מודעות לגבי באג מתמשך שעלול לפגוע במשתמש בְּטִיחוּת.