Googles Threat Analysis Group har nylig avdekket et sett med skadelige sårbarheter i Adobe Flash og Microsoft Windows-kjernen som ble aktivt brukt for angrep av skadelig programvare mot Chrome-nettleseren. Google har kunngjort sikkerhetsfeilen i Windows bare ti dager etter at den ble avslørt for Microsoft 21. oktober. Google påpekte også at denne feilen kunne brukes aggressivt av angripere og kodere til kompromitter sikkerheten i Windows-systemer ved å få administratortilgang til datamaskinene ved hjelp av en skadevare.
Dette kan oppnås ved å la mindre enn ærlige utviklere unnslippe Windows-sikkerhetssandkassen som bare utfører apper på brukernivå uten behov for administratortilgang. Dykking litt dypere inn i det tekniske, win32k.sys, et eldre Windows-system biblioteket som hovedsakelig brukes til grafikk, utstedes en spesifikk samtale som gir full tilgang til Windows miljø. Google Chrome har allerede en forsvarsmekanisme på plass for denne typen feil og blokkerer dette angrepet på Windows 10 ved hjelp av en modifisering av Chromium-sandkassen kalt "Win32k-låsing“.
Google beskrev denne spesielle Windows-sårbarheten som følger:
Windows-sårbarheten er en eskalering av lokale privilegier i Windows-kjernen som kan brukes som en sikkerhetssandkasse. Den kan utløses via win32k.sys systemanropet NtSetWindowLongPtr () for indeksen GWLP_ID på et vindushåndtak med GWL_STYLE satt til WS_CHILD. Chromes sandkasse blokkerer win32k.sys-systemanrop ved hjelp av Win32k-låsingreduksjon på Windows 10, som forhindrer utnyttelse av dette sårbarheten for rømning av sandkasse. "
Selv om dette ikke er Googles første møte med en Windows-sikkerhetsfeil, ga de ut en offentlig uttalelse om et sårbarhet og var senere baserte min Microsoft for å gi ut et offentlig notat før den offisielle syv-dagersgrensen som er gitt til programvareprodusenter for å utstede en fastsette.
“Etter 7 dager, per vår publisert policy for aktivt utnyttet kritiske sårbarheter, avslører vi i dag eksistensen av en gjenværende kritisk sårbarhet i Windows som ingen rådgivning eller løsning ennå er utgitt for, ”skrev Neel Mehta og Billy Leonard fra Googles Threat Analysis Group. ”Denne sårbarheten er spesielt alvorlig fordi vi vet at den blir aktivt utnyttet. ”
EN null-dagers sårbarhet er en offentliggjort sikkerhetsfeil som er ny for brukerne. Og nå som den syv dagers tidsperioden har gått, er det fremdeles ingen oppdateringskorrigering tilgjengelig angående denne feilen fra Microsoft.
Flash-sårbarheten (også avslørt 21. oktober) som Google delte med Adobe, ble lappet 26. oktober. Så brukere kan bare oppdatere til den nyeste versjonen av Flash. Men igjen, Microsoft har aktivt påpekt at for et enkelt web-plugin som Flash er det ikke en utgivelse av en oppdatering innen syv dager utfordrende mål, men for et komplekst operativsystem som Windows er det nesten umulig å kode, teste og utstede en oppdatering for en sikkerhetsfeil i en uke.
Ikke bare Microsoft, men mange andre store programvareenheter har aktivt motarbeidet denne kontroversielle policyen til Google om å avsløre feil i en ukes grense, men Google har hevdet at det er tryggere for offentlig sikkerhet å skape bevissthet om en vedvarende feil som kan kompromittere brukeren sikkerhet.
