Гоогле-ова група за анализу претњи недавно је открила скуп штетних рањивости у Адобе Фласх-у и Мицрософт Виндовс кернел који су се активно користили за нападе малвера на прегледач Цхроме. Гоогле је јавно објавио сигурносну ману у оперативном систему Виндовс само 10 дана након што ју је открио Мицрософту 21. октобра. Гоогле је такође истакао да би ову ману могли агресивно да користе нападачи и програмери угрожавају сигурност у Виндовс системима тако што ће приступити рачунарима на нивоу администратора помоћу а злонамерних програма.
То се може постићи омогућавањем мање искреним програмерима да побегну из Виндовс-овог безбедносног окружења које извршава само апликације на нивоу корисника без потребе за администраторским приступом. Зарањајући мало дубље у техничке карактеристике, вин32к.сис, наслеђени Виндовс систем који подржава Библиотека која се углавном користи за графику, упућује посебан позив који омогућава пуни приступ систему Виндовс Животна средина. Гоогле Цхроме већ има одбрамбени механизам за ову врсту недостатака и блокира овај напад на Виндовс 10 користећи модификацију Цхромиум песковника под називом „
Закључавање Вин32к“.Гоогле је описао ову посебну Виндовс рањивост на следећи начин:
„Виндовс рањивост је локална ескалација привилегија у Виндовс језгру која се може користити као сигурносна заштитна мера за безбедност. Може се покренути путем системског позива вин32к.сис НтСетВиндовЛонгПтр () за индекс ГВЛП_ИД на ручки прозора са ГВЛ_СТИЛЕ постављеним на ВС_ЦХИЛД. Цхроме-ова песковита верзија блокира системске позиве вин32к.сис помоћу ублажавања Вин32к закључавања на Виндовс-у 10, што спречава експлоатацију ове рањивости за бекство из песковника. “
Иако ово није први сусрет Гоогле-а са Виндовс безбедносном грешком, објавили су јавну изјаву у вези са рањивошћу и касније је ударио мој Мицрософт због издавања јавне белешке пре званичног седмодневног ограничења које се додељује произвођачима софтвера да издају поправити.
„После 7 дана, по нашем објављена политика за активно експлоатисане критичне рањивости, данас откривамо постојање преостале критичне рањивости у оперативном систему Виндовс за коју још увек нису објављени савети или исправке “, написао је Неел Мехта и Билли Леонард из Гоогле-ове групе за анализу претњи. “Ова рањивост је посебно озбиљна јер знамо да се активно искоришћен. “
А. нул-дневна рањивост је јавно откривена безбедносна мана, нова за кориснике. А сада, када је протекао седмодневни временски период, још увек не постоји исправка закрпе у вези са овом грешком од Мицрософта.
Фласх рањивост (такође откривена 21. октобра) коју је Гоогле делио са Адобе поправљена је 26. октобра. Тако корисници могу једноставно да се ажурирају на најновију верзију Фласх-а. Али опет, Мицрософт је активно истакао да издавање закрпе у року од седам дана за једноставан веб додатак попут Фласх-а није изазовна мета, али за сложени ОС попут Виндовс-а готово је немогуће кодирати, тестирати и издати закрпу за сигурносну грешку унутар Недеља.
Не само Мицрософт, већ и многи други велики софтверски субјекти активно су се успротивили овој контроверзној Гооглеовој политици откривања недостатака у оквиру седмично ограничење, али Гоогле тврди да је за јавну безбедност сигурније створити свест о постојаној грешци која може угрозити корисника сигурност.
