Googles hotanalysgrupp har nyligen upptäckt en uppsättning skadliga sårbarheter i Adobe Flash och Microsoft Windows-kärna som aktivt användes för skadliga attacker mot Chrome-webbläsaren. Google har offentligt meddelat säkerhetsfelet i Windows bara tio dagar efter att ha avslöjat det för Microsoft den 21 oktober. Google påpekade också att denna fel kunde användas aggressivt av angripare och kodare till äventyra säkerheten i Windows-system genom att få administratörsnivååtkomst till datorerna med en skadlig kod.
Detta kan uppnås genom att låta mindre än ärliga utvecklare fly från Windows säkerhetssandlåda som bara kör appar på användarnivå utan administratörsbehörighet. Dykar lite djupare in i de tekniska egenskaperna, win32k.sys, ett äldre Windows-system bibliotek som huvudsakligen används för grafik, utfärdas ett specifikt samtal som ger full åtkomst till Windows miljö. Google Chrome har redan en försvarsmekanism på plats för denna typ av fel och blockerar denna attack mot Windows 10 med hjälp av en modifiering av kromsandlådan som heter "Win32k-låsning“.
Google beskrev denna speciella Windows-sårbarhet enligt följande:
”Windows-sårbarheten är en eskalering av lokala privilegier i Windows-kärnan som kan användas som en säkerhetslåda. Det kan utlösas via win32k.sys-systemanropet NtSetWindowLongPtr () för indexet GWLP_ID på ett fönsterhandtag med GWL_STYLE inställt på WS_CHILD. Chromes sandlåda blockerar win32k.sys-systemanrop med hjälp av Win32k-låsningsreducering på Windows 10, vilket förhindrar utnyttjande av denna sårbarhetsfel.
Även om detta inte är Googles första möte med en säkerhetsfel i Windows, släppte de ett offentligt uttalande om en sårbarhet och var senare baserade min Microsoft för att släppa en offentlig anteckning före den officiella sju dagarsgränsen som beviljas programvarutillverkare att utfärda en fixera.
“Efter 7 dagar, per vår publicerad policy för aktivt utnyttjad kritisk sårbarhet, vi avslöjar idag förekomsten av en kvarvarande kritisk sårbarhet i Windows för vilken ingen rådgivning eller fix ännu har släppts, ”skrev Neel Mehta och Billy Leonard från Googles grupp för hotanalys. ”Denna sårbarhet är särskilt allvarlig eftersom vi vet att den är aktivt utnyttjas. ”
A noll-dagars sårbarhet är en offentliggjord säkerhetsfel ny för användarna. Och nu när tidsperioden på sju dagar har passerat finns det fortfarande ingen korrigeringsfix tillgänglig för detta fel från Microsoft.
Flash-sårbarheten (avslöjades också den 21 oktober) som Google delade med Adobe lappades den 26 oktober. Så användare kan helt enkelt uppdatera till den senaste versionen av Flash. Men än en gång har Microsoft aktivt påpekat att för ett enkelt webbplugin som Flash är det inte ett utfärdande av en patch inom sju dagar utmanande mål, men för ett komplext operativsystem som Windows är det nästan omöjligt att koda, testa och utfärda en patch för en säkerhetsfel inom en vecka.
Inte bara Microsoft utan många andra stora programvaruenheter har aktivt motsatt sig denna kontroversiella policy från Google för att avslöja brister i en veckans gräns, men Google har hävdat att det är säkrare för allmänheten att skapa medvetenhet om ett bestående fel som kan äventyra användaren säkerhet.
