Группа анализа угроз Google недавно обнаружила ряд вредоносных уязвимостей в Adobe Flash и ядре Microsoft Windows, которые активно использовались для атак вредоносных программ на браузер Chrome. Google публично объявил об уязвимости в Windows всего через 10 дней после ее раскрытия Microsoft 21 октября. Google также отметил, что этот недостаток может быть агрессивно использован злоумышленниками и программистами для компрометации безопасности в системах Windows, получая доступ на уровне администратора к компьютеры, использующие вредоносное ПО.

Этого можно достичь, позволив менее честным разработчикам вырваться из изолированной программной среды безопасности Windows, которая запускает только приложения уровня пользователя без необходимости доступа администратора. Немного углубившись в технические аспекты, win32k.sys, устаревшая системная библиотека поддержки Windows, используемая в основном для графики, получает специальный вызов, который предоставляет полный доступ к среде Windows. В Google Chrome уже есть механизм защиты от подобного недостатка, и он блокирует эту атаку на Windows 10 с помощью модификации песочницы Chromium под названием «Win32k lockdown».

Google описал эту конкретную уязвимость Windows следующим образом:

«Уязвимость Windows - это локальное повышение привилегий в ядре Windows, которое можно использовать как выход из песочницы безопасности. Он может быть запущен с помощью системного вызова win32k.sys NtSetWindowLongPtr () для индекса GWLP_ID для дескриптора окна с GWL_STYLE, установленным в WS_CHILD. Песочница Chrome блокирует системные вызовы win32k.sys с помощью средства смягчения блокировки Win32k в Windows 10, что предотвращает использование этой уязвимости, связанной с выходом из песочницы ».

Хотя это не первое столкновение Google с недостатком безопасности Windows, они опубликовали публичное заявление об уязвимости, и позже я избил мою Microsoft за публикацию публичной заметки до официального семидневного лимита, который предоставляется производителям программного обеспечения для выпуска исправления.

«Через 7 дней в соответствии с нашей опубликованной политикой в ​​отношении активно эксплуатируемых критических уязвимостей мы сегодня раскрываем информацию о существовании остающейся критической уязвимости в Windows, для которой еще не выпущено ни одного исправления или исправления», - написали Нил Мехта и Билли Леонард из Google Analysis Analysis. Группа ». Эта уязвимость особенно серьезна, потому что мы знаем, что она активно эксплуатируется».

Уязвимость нулевого дня является публично раскрытым недостатком безопасности, новым для пользователей. И теперь, когда прошел семидневный период, по-прежнему нет исправлений для этой ошибки от Microsoft.

Уязвимость Flash (также раскрытая 21 октября), которую Google поделился с Adobe, была исправлена ​​26 октября, поэтому пользователи могут просто обновить ее до последней версии Flash. Но опять же, Microsoft активно подчеркивает, что для простого веб-плагина, такого как Flash, выпуск патча в течение семи дней не является сложной задачей, но для сложной ОС, такой как Windows, практически невозможно кодировать, тестировать и выпускать патч для ошибки безопасности в течение недели.

Не только Microsoft, но и многие другие крупные разработчики программного обеспечения активно выступали против этой противоречивой политики Google по выявлению недостатков в пределах недельного лимита, но Google утверждает, что для общественной безопасности безопаснее создавать осведомленность о существующей ошибке, которая может поставить под угрозу безопасность пользователей.