Googlova skupina za analizo nevarnosti je nedavno odkrila niz škodljivih ranljivosti v Adobe Flash in jedru Microsoft Windows, ki so se aktivno uporabljali za napade zlonamerne programske opreme na brskalnik Chrome. Google je javno napovedal pomanjkljivost varnosti v operacijskem sistemu Windows le 10 dni po tem, ko jo je 21. oktobra razkril Microsoftu. Google je tudi opozoril, da lahko napadalci in kodirci to napako agresivno uporabijo za ogrožanje varnosti v sistemih Windows, tako da dobijo skrbniški dostop do računalniki z zlonamerno programsko opremo.

To je mogoče doseči z omogočanjem manj kot poštenim razvijalcem, da pobegnejo iz varnostnega peskovnika Windows, ki izvaja samo aplikacije na ravni uporabnikov, ne da bi bil potreben skrbniški dostop. Ko se nekoliko poglobimo v tehnične lastnosti, je win32k.sys, zapuščena sistemska knjižnica Windows, ki se uporablja predvsem za grafiko, izdal poseben klic, ki omogoča popoln dostop do okolja Windows. Google Chrome že ima obrambni mehanizem za tovrstne napake in blokira ta napad na Windows 10 z uporabo spremembe Chromiumovega peskovnika, imenovanega Win32k lockdown.

Google je to ranljivost sistema Windows opisal na naslednji način:

»Ranljivost sistema Windows je lokalno povečanje privilegij v jedru sistema Windows, ki se lahko uporablja kot pobeg v varnostni sistem. Lahko se sproži prek sistemskega klica win32k.sys NtSetWindowLongPtr () za indeks GWLP_ID na okenskem ročaju z nastavitvijo GWL_STYLE na WS_CHILD. Chromov peskovnik blokira sistemske klice win32k.sys z uporabo ublažitve zaklepanja sistema Win32k v operacijskem sistemu Windows 10, kar preprečuje izkoriščanje te ranljivosti.

Čeprav to ni prvo srečanje Googla z varnostno napako sistema Windows, so objavili javno izjavo glede ranljivosti in pozneje so mojega Microsofta opustili za objavo javne zaznamke pred uradno sedemdnevno omejitvijo, ki jo proizvajalcem programske opreme dovoli izdajanje popravka.

"Po sedmih dneh smo v skladu z našo objavljeno politiko za aktivno izkoriščanje kritičnih ranljivosti danes razkrili obstoj preostale kritične ranljivosti v operacijskem sistemu Windows, za katero še niso objavljeni nobeni nasveti ali popravki, " sta zapisala Neel Mehta in Billy Leonard iz Googlove analize grožnje Skupina. "Ta ranljivost je še posebej resna, ker vemo, da jo aktivno izkoriščamo."

Brezčutna ranljivost je javno razkrita varnostna napaka, ki je nova za uporabnike. In zdaj, ko je preteklo sedemdnevno obdobje, od Microsofta še vedno ni na voljo popravka popravkov.

Ranljivost Flash (razkrita tudi 21. oktobra), ki jo je Google delil z Adobeom, je bila zakrpana 26. oktobra, tako da lahko uporabniki preprosto posodobijo na najnovejšo različico Flash-a. Potem pa je Microsoft aktivno poudaril, da za preprost spletni vtičnik, kot je Flash, izdaja popravka v sedmih dneh ni zahtevna tarča, vendar je za zapleteno operacijsko sistem Windows, kot je Windows, skoraj nemogoče kodirati, preizkusiti in izdati obliž zaradi varnostne napake v enem tednu.

Ne le Microsoft, ampak tudi številni drugi večji programski subjekti so aktivno nasprotovali tej sporni Googlovi politiki odkrivanja napak v roku enega tedna, ampak Google trdi, da je varnejša za javno varnost, da se ustvari zavest o vztrajni napaki, ki lahko ogrozi varnost uporabnikov.