Група загроз Google загрози нещодавно виявила набір шкідливих уразливостей в Adobe Flash та ядра Microsoft Windows, які активно використовувалися для атак зловмисного програмного забезпечення на браузер Chrome. Google оприлюднив недоліки безпеки в Windows лише через 10 днів після того, як оприлюднив його в Microsoft 21 жовтня. Google також зазначив, що цей недолік може бути агресивно використаний зловмисниками та кодерами для компрометації безпеки в системах Windows, отримавши доступ на рівні адміністратора до комп’ютери, що використовують зловмисне програмне забезпечення.

Цього можна досягти, дозволяючи менш ніж чесним розробникам виходити з пісочниці безпеки Windows, яка виконує лише програми рівня користувача, не потребуючи доступу адміністратора. Трохи заглибившись у технічні характеристики, win32k.sys, застаріла системна бібліотека Windows, що використовується в основному для графіки, одержує специфічний виклик, який надає повний доступ до середовища Windows. У Google Chrome вже створений механізм захисту від подібних недоліків і блокує цю атаку на Windows 10, використовуючи модифікацію Chromium Sandbox під назвою "Блокування Win32k".

Google описав цю особливу вразливість Windows так:

«Уразливість Windows - це локальне нарощування привілеїв у ядрі Windows, яке може бути використане як вихід у пісочну скриньку безпеки. Це може бути запущено за допомогою системного виклику win32k.sys NtSetWindowLongPtr () для індексу GWLP_ID на вікні з ручкою GWL_STYLE, встановленої на WS_CHILD. Пісочниця Chrome блокує системні виклики win32k.sys, використовуючи пом'якшення блокування Win32k у Windows 10, що запобігає використанню цієї вразливості.

Хоча це не перша зустріч Google із вадою безпеки Windows, вони оприлюднили публічну заяву щодо вразливості, і пізніше вони пошкодили мій Microsoft за те, що він опублікував публічну записку перед офіційним семиденним обмеженням, яке надається виробникам програмного забезпечення для випуску виправлення.

"Через 7 днів, відповідно до нашої опублікованої політики щодо активного використання критичних вразливих ситуацій, ми сьогодні розкриваємо наявність у Windows ще решти критичної вразливості, щодо якої ще не було опубліковано жодних рекомендацій чи виправлень", - писали Ніл Мехта та Біллі Леонард з Аналіз загроз Google Група. "Ця вразливість особливо серйозна, тому що ми знаємо, що її активно використовують".

Вразливість до нульового дня - це публічно оприлюднений недолік безпеки, новий для користувачів. А тепер, коли минув семиденний проміжок часу, від Microsoft ще не існує виправлення виправлень.

Уразливість Flash (також розкрита 21 жовтня), якою Google поділилася з Adobe, була виправлена ​​26 жовтня. Таким чином, користувачі можуть просто оновити до останньої версії Flash. Але знову ж таки, Microsoft активно вказував, що для простого веб-плагіна, наприклад Flash, видача виправлення протягом семи днів не є складною ціллю, але для складної ОС на зразок Windows майже неможливо кодувати, протестувати та видавати виправлення за недолік безпеки протягом тижня.

Не лише Microsoft, а й багато інших основних програмних програм активно виступають проти цієї суперечливої ​​політики Google щодо виявлення недоліків протягом тижневого обмеження, але Google стверджує, що для громадської безпеки безпечніше створювати обізнаність про постійну помилку, яка може поставити під загрозу безпеку користувачів.