Skupina spoločnosti Google na analýzu hrozieb nedávno odhalila skupinu škodlivých chýb v programoch Adobe Flash a Jadro Microsoft Windows ktoré sa aktívne používali na útoky škodlivého softvéru na prehliadač Chrome. Google verejne oznámil bezpečnostnú chybu vo Windows iba 10 dní po zverejnení spoločnosti Microsoft 21. októbra. Google tiež upozornil, že útočníci a programátori môžu túto chybu agresívne využiť ohroziť bezpečnosť v systémoch Windows získaním prístupu na úrovni správcu k počítačom pomocou a malware.
To sa dá dosiahnuť tým, že umožníme menej ako čestným vývojárom uniknúť z karantény zabezpečenia systému Windows, ktorá spúšťa iba aplikácie na úrovni používateľa bez potreby prístupu správcu. Ak sa ponoríte trochu hlbšie do podrobností, win32k.sys, starší systém Windows, ktorý podporuje knižnica používaná hlavne na grafiku, sa vydáva konkrétne volanie, ktoré poskytuje úplný prístup k systému Windows prostredie. Prehliadač Google Chrome už má zavedený obranný mechanizmus pre tento druh chyby a blokuje tento útok na systém Windows 10 pomocou úpravy karantény Chromium s názvom „
Uzamknutie Win32k“.Google popísal túto konkrétnu zraniteľnosť systému Windows takto:
„Zraniteľnosť systému Windows je stupňovanie miestnych privilégií v jadre systému Windows, ktoré je možné použiť ako únik z bezpečnostného karanténu. Môže byť spustený prostredníctvom systémového volania win32k.sys NtSetWindowLongPtr () pre index GWLP_ID na okennej rukoväti s nastavením GWL_STYLE na WS_CHILD. Pieskovisko prehliadača Chrome blokuje systémové volania win32k.sys pomocou zmiernenia uzamknutia Win32k v systéme Windows 10, čo zabráni zneužitiu tejto chyby zabezpečenia uniknutej z karantény. “
Aj keď nejde o prvé stretnutie spoločnosti Google s bezpečnostnou chybou Windows, zverejnili verejné vyhlásenie týkajúce sa chyby zabezpečenia a boli neskôr napálil môj Microsoft za vydanie verejnej poznámky pred oficiálnym sedemdňovým limitom, ktorý je výrobcom softvéru poskytnutý na vydanie a opraviť.
"Po 7 dňoch, podľa našich." zverejnená politika pre aktívne využívané kritické zraniteľnosti, dnes odhaľujeme existenciu zostávajúcej kritickej chyby zabezpečenia v systéme Windows, pre ktorú ešte neboli vydané žiadne rady ani opravy, “napísal Neel Mehta a Billy Leonard zo skupiny spoločnosti Google na analýzu hrozieb. “Táto chyba zabezpečenia je obzvlášť závažná, pretože vieme, že sa aktívne využívaný. “
A zraniteľnosť nulového dňa je verejne zverejnená bezpečnostná chyba nová pre používateľov. A teraz, keď uplynulo sedemdňové časové obdobie, stále nie je k dispozícii žiadna oprava opravy tejto chyby od spoločnosti Microsoft.
Zraniteľnosť vo formáte Flash (zverejnená tiež 21. októbra), ktorú Google zdieľal so spoločnosťou Adobe, bola opravená 26. októbra. Používatelia teda môžu jednoducho aktualizovať na najnovšiu verziu programu Flash. Spoločnosť Microsoft však opäť aktívne upozornila, že pre jednoduchý webový doplnok, ako je Flash, nie je vydanie opravy do siedmich dní náročným cieľom, ale pre zložitý operačný systém ako Windows je takmer nemožné kódovať, testovať a vydať opravu bezpečnostnej chyby v rámci týždeň.
Nielen Microsoft, ale aj mnoho ďalších významných softvérových subjektov sa aktívne postavilo proti tejto kontroverznej politike spoločnosti Google v oblasti odhaľovania nedostatkov v rámci týždenný limit, ale Google tvrdí, že pre verejnú bezpečnosť je bezpečnejšie vytvárať povedomie o pretrvávajúcej chybe, ktorá môže ohroziť používateľa bezpečnosť.
