Friendoffriends
Googles hotanalysgrupp har nyligen avslöjat en uppsättning skadliga sårbarheter i Adobe Flash och Microsoft Windows-kärnan som aktivt användes för skadliga attacker mot Chrome-webbläsaren. Google har offentligt meddelat säkerhetsfelet i Windows bara tio dagar efter avslöjandet för Microsoft den 21 oktober. Google påpekade också att detta fel skulle kunna användas aggressivt av angripare och kodare för att äventyra säkerheten i Windows-system genom att få administratörsnivå tillgång till datorer som använder skadlig kod.
Detta kan uppnås genom att låta mindre än ärliga utvecklare fly från Windows säkerhetssandlåda som endast kör appar på användarnivå utan administratörsbehörighet. Win32k.sys, ett äldre Windows-systembibliotek som främst används för grafik, dyker lite djupare in i det tekniska, utfärdas ett specifikt samtal som ger full åtkomst till Windows-miljön. Google Chrome har redan en försvarsmekanism på plats för den här typen av fel och blockerar denna attack mot Windows 10 med hjälp av en modifiering av kromsandlådan som heter "Win32k lockdown".
Google beskrev denna speciella Windows-sårbarhet enligt följande:
“Windows-sårbarheten är en eskalering av lokala privilegier i Windows-kärnan som kan användas som en säkerhetslåda. Det kan utlösas via win32k.sys-systemanropet NtSetWindowLongPtr () för indexet GWLP_ID på ett fönsterhandtag med GWL_STYLE inställt på WS_CHILD. Chromes sandlåda blockerar win32k.sys-systemanrop med hjälp av Win32k-låsningsreducering på Windows 10, vilket förhindrar utnyttjande av denna sårbarhetsfel.
Även om detta inte är Googles första möte med en Windows-säkerhetsfel, släppte de ett offentligt uttalande om en sårbarhet och blev senare baserade min Microsoft för att släppa en offentlig anteckning innan den officiella sju dagarsgränsen som beviljas programvarutillverkare för att utfärda en fix.
”Efter 7 dagar, enligt vår publicerade policy för aktivt utnyttjad kritisk sårbarhet, avslöjar vi idag förekomsten av en kvarvarande kritisk sårbarhet i Windows för vilken ingen rådgivning eller fix ännu har släppts,” skrev Neel Mehta och Billy Leonard från Googles hotanalys. Group. ”Denna sårbarhet är särskilt allvarlig eftersom vi vet att den utnyttjas aktivt.”
En nolldagars sårbarhet är ett offentligt avslöjat säkerhetsfel som är nytt för användarna. Och nu när den sju dagars tidsperioden har passerat finns det fortfarande ingen korrigeringsfix tillgänglig för detta fel från Microsoft.
Flash-sårbarheten (avslöjades också den 21 oktober) som Google delade med Adobe lappades den 26 oktober. Så användare kan helt enkelt uppdatera till den senaste versionen av Flash. Men sedan har Microsoft aktivt påpekat att för ett enkelt webbplugin som Flash är det inte ett utmanande mål att utfärda en patch inom sju dagar, men för ett komplext operativsystem som Windows är det nästan omöjligt att koda, testa och utfärda en patch för en säkerhetsfel inom en vecka.
Inte bara Microsoft utan många andra större programvaruenheter har aktivt motsatt sig denna kontroversiella policy från Google för att avslöja brister inom en veckas gräns, men Google har hävdat att det är säkrare för allmänheten att skapa medvetenhet om ett bestående fel som kan äventyra användarsäkerheten.
- säkerhet
