Google– ის საფრთხის ანალიზის ჯგუფმა ახლახანს გამოავლინა მავნე სისუსტეების ნაკრები Adobe Flash– სა და Microsoft Windows ბირთვი რომლებიც აქტიურად იყენებდნენ Chrome ბრაუზერის წინააღმდეგ მავნე პროგრამებისთვის. Google– მა საჯაროდ გამოაცხადა Windows- ის უსაფრთხოების ხარვეზი 21 ოქტომბერს Microsoft– ისთვის მისი გასაჯაროებიდან მხოლოდ 10 დღის შემდეგ. Google- მა ასევე აღნიშნა, რომ ამ ხარვეზის გამოყენება აგრესიულად შეიძლება გამოიყენონ თავდამსხმელებმა და შიფრატორებმა კომპრომისზე უსაფრთხოება Windows სისტემებში ადმინისტრატორის დონის წვდომის საშუალებით კომპიუტერებზე მავნე პროგრამა.
ამის მიღწევა შესაძლებელია იმით, რომ არანაკლებ პატიოსან დეველოპერებს დაეტოვებინათ Windows უსაფრთხოების sandbox, რომელიც ახორციელებს მხოლოდ მომხმარებლის დონის აპლიკაციებს ადმინისტრატორის წვდომის გარეშე. ცოტა უფრო ღრმად ჩავუღრმავდით ტექნიკურ ნივთებს, win32k.sys, მემკვიდრეობა Windows სისტემის მხარდაჭერას წარმოადგენს ძირითადად ბიბლიოთეკაში, რომელიც გამოიყენება გრაფიკისთვის, გაიცემა კონკრეტული ზარი, რომელიც უზრუნველყოფს Windows- ის სრულ წვდომას გარემო Google Chrome– ს უკვე აქვს დამცავი მექანიზმი ამგვარი ხარვეზისთვის და აფერხებს ამ შეტევას Windows 10– ზე Chromium sandbox– ის მოდიფიკაციის გამოყენებით, სახელწოდებით „
Win32k დაბლოკვა“.Google– მა აღწერს Windows– ის ამ კონკრეტულ დაუცველობას შემდეგნაირად:
”Windows– ის დაუცველობა არის ადგილობრივი პრივილეგიის ესკალაცია Windows– ის ბირთვში, რომელიც შეიძლება გამოყენებულ იქნას როგორც უსაფრთხოების საცავის გაქცევა. ამის გააქტიურება შესაძლებელია win32k.sys სისტემის ზარის საშუალებით NtSetWindowLongPtr () ინდექსისთვის GWLP_ID ფანჯრის სახელურზე, GWL_STYLE მითითებულია WS_CHILD. Chrome- ის სავარჯიშო ბლოკავს win32k.sys სისტემის ზარებს Windows 10-ზე Win32k დაბლოკვის შემსუბუქების გამოყენებით, რაც ხელს უშლის ამ სავარჯიშო სისტემის ექსპლუატაციას მოწყვლადობისგან. ”
მიუხედავად იმისა, რომ ეს არ არის Google– ის პირველი შეტაკება Windows– ის უსაფრთხოების ხარვეზთან დაკავშირებით, მათ გამოაქვეყნეს საჯარო განცხადება მოწყვლადობის შესახებ და მოგვიანებით შეაფასა ჩემი Microsoft, რომ გამოქვეყნებულიყო საჯარო შენიშვნა ოფიციალურ შვიდდღიან ლიმიტამდე, რომელიც ეძლევათ პროგრამული უზრუნველყოფის მწარმოებლებს დაფიქსირება
”7 დღის შემდეგ გამოქვეყნდა პოლიტიკა კრიტიკულად დაუცველი ფაქტორების აქტიურად გამოყენების მიზნითდღეს ჩვენ გაამჟღავნეთ Windows– ში დარჩენილი კრიტიკული მოწყვლადობის არსებობა, რისთვისაც ჯერჯერობით არ გამოქვეყნებულა რაიმე საკონსულტაციო ან გამოსასწორებელი საკითხი ”, - წერს ნელ მეტა და ბილი ლეონარდი, Google- ის საფრთხეების ანალიზის ჯგუფიდან. ”ეს დაუცველობა განსაკუთრებით სერიოზულია, რადგან ვიცით, რომ ის აქტიურად მიმდინარეობს ექსპლუატაციაში ”.
ა ნულოვანი დღის დაუცველობა არის საჯაროდ გამჟღავნებული უსაფრთხოების ხარვეზი, რომელიც მომხმარებლებისთვის ახალია. შვიდდღიანი დროის გასვლის შემდეგ, Microsoft– ის ამ შეცდომასთან დაკავშირებით ჯერჯერობით არ არსებობს პაჩის გამოსწორება.
Flash- ის დაუცველობა (ასევე ცნობილია 21 ოქტომბერს), რომელიც Google- მა გაზიარა Adobe- სთვის, 26.09.2008 შეცვალა. ასე რომ, მომხმარებლებს შეუძლიათ უბრალოდ განაახლონ Flash- ის უახლესი ვერსია. შემდეგ ისევ, Microsoft- მა აქტიურად აღნიშნა, რომ მარტივი ვებ მოდულისთვის, როგორიცაა Flash, პატჩის გაცემა შვიდი დღის განმავლობაში რთული სამიზნე, მაგრამ ისეთი რთული ოპერაციული სისტემისთვის, როგორიცაა Windows, თითქმის შეუძლებელია უსაფრთხოების ხარვეზის კოდირება, ტესტირება და პატჩის გაცემა კვირა
არა მხოლოდ მაიკროსოფტი, არამედ მრავალი სხვა მთავარი პროგრამული სუბიექტი აქტიურად ეწინააღმდეგება Google- ის სადავო პოლიტიკას, გამოავლინოს ხარვეზები ა კვირის ლიმიტი, მაგრამ Google- მა განაცხადა, რომ საზოგადოებრივი უსაფრთხოებისათვის უსაფრთხოა ინფორმირებულობის შექმნა არსებული შეცდომის შესახებ, რამაც შეიძლება მომხმარებელს კომპრომეტირება გაუწიოს უსაფრთხოება.
