Skupina na analýzu hrozieb spoločnosti Google nedávno odhalila súbor škodlivých zraniteľností v Adobe Flash a jadre systému Microsoft Windows, ktoré sa aktívne používajú na útoky škodlivého softvéru na prehliadač Chrome. Google verejne ohlásil bezpečnostnú chybu v systéme Windows len 10 dní po jej zverejnení spoločnosti Microsoft 21. októbra. Spoločnosť Google tiež poukázala na to, že túto chybu môžu útočníci a kódovači agresívne použiť na narušenie bezpečnosti v systémoch Windows získaním prístupu na úrovni správcu k počítačov používajúcich malware.

To sa dá dosiahnuť povolením menej ako čestných vývojárov uniknúť z bezpečnostného priestoru systému Windows, ktorý spúšťa iba aplikácie na úrovni používateľa bez potreby prístupu správcu. Win32k.sys, staršia technická knižnica systému Windows používaná hlavne pre grafiku, sa ponorí trochu hlbšie do technických odborov a vydá konkrétne volanie, ktoré poskytuje plný prístup do prostredia Windows. Prehliadač Google Chrome už má k dispozícii obranný mechanizmus pre tento druh chyby a blokuje tento útok v systéme Windows 10 pomocou úpravy karantény prehliadača Chromium s názvom „Zablokovanie Win32k“.

Google opísal túto konkrétnu chybu zabezpečenia systému Windows nasledovne:

„Zraniteľnosť systému Windows je eskaláciou miestnych privilégií v jadre systému Windows, ktoré možno použiť ako únik z karantény zabezpečenia. Môže sa spustiť prostredníctvom systémového volania win32k.sys NtSetWindowLongPtr () pre index GWLP_ID na popisovač okna s GWL_STYLE nastaveným na WS_CHILD. Karanténa prehliadača Chrome blokuje systémové hovory win32k.sys pomocou zmierňovania blokovania Win32k v systéme Windows 10, čo bráni zneužitiu tejto únikovej karantény. “

Aj keď nejde o prvé stretnutie spoločnosti Google s bezpečnostnou chybou systému Windows, vydali verejné vyhlásenie týkajúce sa zraniteľnosti a neskôr spoločnosť Microsoft priviedla svoju spoločnosť k uváženiu pred zverejnením oficiálnej nóty pred oficiálnym sedemdňovým limitom, ktorý sa udeľuje výrobcom softvéru na vydanie opravy.

„Po siedmich dňoch zverejňujeme podľa našich zverejnených pravidiel pre aktívne zneužívané kritické zraniteľné miesta existenciu pretrvávajúcej kritickej zraniteľnosti v systéme Windows, pre ktorú ešte neboli zverejnené žiadne odporúčania alebo opravy, “ napísali Neel Mehta a Billy Leonard z Analýzy hrozieb spoločnosti Google. Skupina. “Táto zraniteľnosť je obzvlášť závažná, pretože vieme, že sa aktívne využíva.“

Nula-denná zraniteľnosť je verejne odhalenou chybou zabezpečenia pre používateľov. A teraz, keď uplynulo sedemdňové časové obdobie, stále nie je k dispozícii žiadna oprava opráv týkajúcich sa tejto chyby od spoločnosti Microsoft.

Chyba zabezpečenia Flash (zverejnená aj 21. októbra), ktorú spoločnosť Google zdieľala so spoločnosťou Adobe, bola oprava 26. októbra. Používatelia tak môžu jednoducho aktualizovať na najnovšiu verziu programu Flash. Spoločnosť Microsoft však opäť zdôraznila, že v prípade jednoduchého webového doplnku, ako je Flash, nie je vydanie záplaty do siedmich dní náročným cieľom, ale pre zložité operačné systémy, ako je Windows, je takmer nemožné kódovať, testovať a vydávať náplasť na bezpečnostnú chybu do jedného týždňa.

Nielen spoločnosť Microsoft, ale aj mnoho ďalších významných softvérových subjektov sa aktívne postavilo proti tejto kontroverznej politike spoločnosti Google týkajúcej sa odhalenia nedostatkov v rámci limitu týždňa, ale spoločnosť Google tvrdí, že pre verejnú bezpečnosť je bezpečnejšie vytvárať povedomie o pretrvávajúcich chybách, ktoré môžu ohroziť bezpečnosť používateľov.